商業(yè)CMS再曝零日漏洞 眾多政府政務(wù)系統(tǒng)面臨嚴(yán)重威脅
責(zé)編:admin |2014-12-10 14:35:54近日,安恒信息安全研究員發(fā)現(xiàn)目前在國內(nèi)政府、教育、公檢法、醫(yī)療等部門使用率非常高的政務(wù)系統(tǒng)“OHOCMS”的多處漏洞,包括任意文件上傳、任意文件刪除、任意文件讀取、多處SQL注入等高危漏洞可導(dǎo)致遠(yuǎn)程攻擊者直接獲取網(wǎng)站服務(wù)器控制權(quán)限。漏洞影響范圍包含了最新版本的OHOCMS政務(wù)系統(tǒng)及以前的所有版本。
電子政務(wù)的信息安全,關(guān)系到國家安全與公民個(gè)人信息安全。經(jīng)安恒信息的安全工程師進(jìn)行安全排查發(fā)現(xiàn)該系統(tǒng)的漏洞覆蓋了國內(nèi)眾多城市的政府門戶以及公檢法系統(tǒng),安恒信息已及時(shí)將漏洞詳細(xì)信息通報(bào)給歐虎官方,并提交給中國國家信息安全漏洞庫CNNVD組織。同時(shí),安恒信息安全研究院在進(jìn)行多次測(cè)試和提煉后,與安恒研發(fā)團(tuán)隊(duì)共同完成了歐虎政務(wù)系統(tǒng)的產(chǎn)品檢測(cè)與防御,目前安恒信息明御Web應(yīng)用防火墻已經(jīng)能夠防御歐虎政務(wù)系統(tǒng)的SQL注入、文件上傳、文件操作等漏洞,并提供了策略升級(jí)包,安恒信息將及時(shí)安排工作人員對(duì)相關(guān)客戶進(jìn)行升級(jí)。同時(shí)安恒信息明鑒 WEBSCAN掃描器也能及時(shí)探測(cè)出該系統(tǒng)這些漏洞。
安恒信息建議其他存在同樣漏洞環(huán)境的用戶關(guān)注歐虎官方的升級(jí)補(bǔ)丁,也可以與安恒信息主動(dòng)聯(lián)系(400-605-9110),隨時(shí)協(xié)助有需要的客戶解決該問題。
2014年,安恒信息安全研究院發(fā)現(xiàn)并協(xié)助解決國內(nèi)外各類商業(yè)性質(zhì)的CMS系統(tǒng)漏洞累計(jì)106個(gè),其中嚴(yán)重高危漏洞104個(gè),并獲得多個(gè)CVE漏洞編號(hào),同時(shí)也是國家漏洞庫的重要貢獻(xiàn)者。
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧