[i=s] 本帖最后由 Lin哥 于 2025-7-12 16:33 编辑 [/i]
漏洞背景与概述
契约锁是一款用于电子签章和印章管理的企业级平台,签署的电子文件在法律效力上等同于纸质合同。
2025年7月,契约锁官方紧急发布安全更新,修复了其 pdfverifier 组件中的远程命令执行(RCE)漏洞。该漏洞允许未授权攻击者通过特定手段在受害服务器上执行系统命令。鉴于该漏洞的利用门槛较低、危害严重,建议所有受影响的用户尽快完成安全更新。
漏洞详情
01. 漏洞成因
漏洞的根本原因在于电子签章系统对用户提交的特定格式数据缺少严格校验,并在后端处理逻辑中存在命令执行缺陷。攻击者可构造特制请求,绕过安全校验机制,在目标服务器上注入并执行任意系统命令。
02. 可能后果
- 远程执行命令:黑客可在服务器上任意执行命令
- 服务器被接管:攻击者可获取系统权限
- 数据安全风险:可能导致敏感信息泄漏
- 业务中断:业务系统面临被破坏或勒索的风险
风险评估
- 漏洞类型:远程命令执行(RCE)
- 危害等级:高危
- 触发条件:远程网络访问
- 权限要求:无需身份认证
- 系统配置:默认配置即可被利用
- 用户交互:不需要用户参与
- 漏洞利用难度:中低(已有POC/EXP但未公开)
- 修复难度:低(官方已发布补丁)
受影响版本
以下版本在未打补丁的情况下存在漏洞:
- 4.3.8 ≤ 版本 ≤ 5.x.x 且 补丁版本 < 2.1.8
- 4.0.x ≤ 版本 ≤ 4.3.7 且 补丁版本 < 1.3.8
修复与缓解建议
01. 临时缓解
- 避免将该系统直接暴露在公网环境
- 限制访问来源IP
- 部署WAF或安全网关进行异常流量检测
02. 官方修复
契约锁官方已发布安全补丁,建议所有用户立即升级到安全版本。
下载及详细说明见:
契约锁安全更新链接
产品安全检测支持
- 云图:默认识别契约锁指纹,支持漏洞检测
- 洞鉴:预计 2025.07.11 起支持检测
- 雷池、全悉:均默认支持检测该漏洞
时间线
- 2025年7月:契约锁官方发布安全补丁
- 2025年7月11日:长亭安全应急响应中心发布安全公告
