【漏洞描述】

近日，接“国家互联网应急中心（CNCERT）”的反馈，部分金蝶云星空私有云客户使用经营分析平台，采用的是集成科加诺(SpotView)产品，并发现SpotView产品使用的PRISM框架存在任意文件读取漏洞，攻击者可利用此漏洞获取服务器敏感文件信息，对系统的可用性、数据的安全性带来隐患。请所有当前正在使用下述私有云版本的客户，第一时间采用科加诺的安全修复公告中的修复方案进行安全加固。否则漏洞可能被利用，导致信息泄漏。

本次科加诺的安全修复公告中的修复方案，与星空产品版本与补丁均无依赖关系，请大家放心安装。公有云环境，不存在该漏洞，公有云客户可不做关注。

【漏洞影响】

金蝶云星空私有云客户，部署与使用了经营分析平台的客户环境，攻击者可利用此漏洞获取服务器敏感文件信息，导致信息泄漏。

【影响版本】

Prism框架科加诺(SpotView)产品漏洞版本(曾经安装或使用过)：

1，SpotView V5.7--SpotView V6.3.4

2，金蝶OEM产品 金蝶运营魔方 V13.0--V15.1

3，金蝶OEM产品 金蝶云星空经营分析平台 V6.0--V8.0

4，以及2022年9月30日之前发布的其他OEM产品

【修复方案】

为保障您的系统可用与数据安全，修复建议：

1、安装新版本：更新“经营分析平台”产品至最新版本，

下载地址：http://www.spotway.com.cn/download.html

2、临时补丁包修补：下载符合系统版本的漏洞补丁，在“经营分析平台”服务器安装，

下载地址：http://www.spotway.com.cn/download/SpotviewFix6.3.rar

以上修复方案转载自科加诺的漏洞公告，详情请参阅科加诺官网公告：http://www.spotview.com.cn/fix.html