一、漏洞详情
瑞友天翼应用虚拟化系统是西安瑞友信息技术资讯有限公司研发的具有自主知识产权,基于服务器计算(Server-based Computing)架构的应用虚拟化平台。
瑞友天翼应用虚拟化系统中的\Home\Controller\AdminController存在appsave/appdel两个无需鉴权并且存在SQL注入的风险的接口,攻击者可利用php PDO默认支持堆叠的方式使用堆叠写入恶意文件导致RCE。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
瑞友天翼应用虚拟化系统 < 7.0.5.1
三、修复建议
官方已发布修复方案,受影响的用户建议更新至安全版本。
