关于金蝶EAS easWebClient 任意文件读取情况说明

        针对近期反馈的“金蝶EAS easWebClient 接口存在任意文件读取问题“。我司高度重视并立即组织相关人员进行核查，详细情况如下：

一、技术分析

        报告中表明，EAS服务中存在/easWebClient/deploy/client/ctrlhome/webapps/extweb/WEB-INF/web.xml敏感文件可被下载。对此做如下说明：

        金蝶 EAS 系统是基于金蝶 BOS 平台搭建的企业数字化转型的最佳实践，在产品迭代过程中不断演进，同时支持C/S和B/S两种模式，以满足客户在不同场景下的使用需求。

        其中在C/S模式下，客户端基于java语言开发图形化界面，同时采用Smart Client技术，自动保持与服务端组件一致。产品更新时，补丁只需要在服务端安装（其中包含了客户端组件）。客户端检测到需要更新（对比文件MD5 hash值）时，先更新文件到本地，然后再加载组件。

        为满足上述一致性要求，产品架构设计时增设/easWebClient路径提供客户端所需的检测更新服务，且对访问做了严格校验，禁止访问easWebClient以外的服务端运行文件。此次通报中涉及的/easWebClient/deploy/cl