金蝶云星空系统存在任意文件读取漏洞问题修复公告

【漏洞描述】

近日，金蝶软件公司发现金蝶云星空私有云和混合云版本存在一个通用漏洞，攻击者可利用此漏洞获取服务器敏感文件信息，请所有当前正在使用下述私有云和混合云版本的客户，第一时间更新安全加固补丁。否则漏洞可能被利用，导致信息泄漏，详见影响版本与解决方案。

本次发布的安全加固补丁，与星空产品版本与补丁均无依赖关系，请大家放心安装。公有云环境，不存在该漏洞，公有云客户可不做关注。

【漏洞影响】

金蝶云星空私有云和混合云部署，站点发布到外网使用的客户环境，攻击者可利用此漏洞获取服务器敏感文件信息，导致信息泄漏。

【影响版本】

金蝶云星空私有云和混合云部署，产品版本范围：

【解决方案】

升级安全加固补丁修复

解决管理中心与业务中心存在任意文件读取漏洞的问题，安全加固补丁下载链接如下：

（一）适用于金蝶云星空V7.X所有私有云或混合云补丁版本（PT116278 [7.0.352.16]至PT-146899 [7.7.0.202112]）：

请下载附件

【文件一】TempPatch_V7_XT.7.0.1801.2.rar

（二）适用于金蝶云星空V8.0所有私有云补丁版本(PT-146903 [8.0.0.202202]至PT-146915 [8.0.0.202206]):

请下载附件

【文件二】TempPatch_V8_XT.8.0.181.11.rar

注意：更新临时补丁前，需备份管理中心和业务中心站点目录下的web.config文件。

管理中心目录：\Kingdee\K3Cloud\ManageSite\web.config

业务中心目录：\Kingdee\K3Cloud\WebSite\web.config