针对近期反馈的“金蝶EAS easWebClient 接口存在任意文件读取问题“。我司高度重视并立即组织相关人员进行核查，详细情况如下：

一、技术分析

        报告中表明，EAS服务中存在/easWebClient/deploy/client/ctrlhome/webapps/extweb/WEB-INF/web.xml敏感文件可被下载。对此做如下说明：

        金蝶 EAS 系统是基于金蝶 BOS 平台搭建的企业数字化转型的最佳实践，在产品迭代过程中不断演进，同时支持C/S和B/S两种模式，以满足客户在不同场景下的使用需求。

        其中在C/S模式下，客户端基于java语言开发图形化界面，同时采用Smart Client技术，自动保持与服务端组件一致。产品更新时，补丁只需要在服务端安装（其中包含了客户端组件）。客户端检测到需要更新（对比文件MD5 hash值）时，先更新文件到本地，然后再加载组件。

        为满足上述一致性要求，产品架构设计时增设/easWebClient路径提供客户端所需的检测更新服务，且对访问做了严格校验，禁止访问easWebClient以外的服务端运行文件。此次通报中涉及的/easWebClient/deploy/client/ctrlhome/webapps/extweb/WEB-INF/web.xml文件也在此范围内。

二、分析结论

        easWebClient是EAS在C/S架构下提供给客户端下载运行期文件的服务，由于客户端也是基于java语言，所以也会包含如web.xml类型的文件。金蝶给客户端使用的文件，不属于敏感文件，不存在安全风险，因此这种情况不属于“敏感文件泄漏”。

三、佐证材料

        报告中提及的/easWebClient/deploy/client/ctrlhome/webapps/extweb/WEB-INF/web.xml文件，其功能为客户端设计移动设备上使用的报表时，会在客户端本地启动WEB服务，模式实际使用应用，相关效果如下：

你好，这个功能能关闭么？或者有什么补丁能屏蔽掉这个地址么？EAS8.2