漏洞概述

FE企业运营管理平台V6.6存在构造恶意非法文件，通过获取的cookie，完成了非法文件的上传。(漏洞编号：FQPSIRT-2023-00003 )

漏洞类型

任意文件上传

CVE编号

CVE-FE66-2023-001

漏洞级别

高

影响版本

漏洞详细描述

构造恶意非法文件，通过获取的cookie，绕过了上传文件类型的校验，绕过了登录的校验，将非法文件上传到了系统。

修复方案

增加了上传文件类型的白名单校验，通过头部来获取文件类型，而不是通过后缀来获取。

补丁获取途径

该漏洞目前已修复，安全补丁获取方式如下：

1、联系飞企技术服务工程师：4001020756

注意事项

1、为确保数据安全，建议重要业务数据进行异地备份。

2、修复漏洞前请将资料备份，并进行充分测试。