金蝶Apusic应用服务器 JNDI注入远程代码执行漏洞

最新推荐文章于 2025-09-23 16:19:33 发布
原创 最新推荐文章于 2025-09-23 16:19:33 发布 · 4k 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全

本文报道了金蝶Apusic应用服务器的一个安全漏洞,loadTree接口存在jndi注入风险,攻击者可借此获取服务器权限。影响版本为V9.0SP7及以下,通过POC展示了漏洞利用方法。建议对未授权用户限制访问此接口,强调了安全责任的重要性。

文章目录

产品简介

金蝶Apusic应用服务器(Apusic Application Server,AAS)是一款标准、安全、高效、集成并具丰富功能的企业级应用服务器软件,全面支持JakartaEE8/9的技术规范,提供满足该规范的Web容器、EJB容器以及WebService容器等,支持Websocket1.1、Servlet4.0、HTTP2.0等最新的技术规范,为企业级应用的便捷开发、灵活部署、可靠运行、高效管控以及快速集成等提供关键支撑。

漏洞概述

金蝶Apusic应用服务器 loadTree 接口存在jndi注入,攻击者可通过jndi注入远程加载代码获取服务器权限。

影响版本

V9.0 SP7及以下版本

指纹识别

fofa:

app="Apusic应用服务器"

hunter:

app.name="Apusic 金蝶天燕 Server"

漏洞利用

poc:

POST /appmonitor/protect
最低0.47元/天 解锁文章
金蝶Apusic应用服务器 loadTree JNDI注入漏洞复现(QVD-2023-48297)
0xSec
12-22 3292
由于金蝶Apusic应用服务器权限验证不当,导致攻击者可以向loadTree接口执行JNDI注入,造成远程代码执行漏洞。利用该漏洞需低版本JDK。(漏洞比较旧,8月份补丁已出,金蝶EAS也存在类似漏洞,只是路径不一样)
金蝶Apusic应用服务器 createDataSource JNDI注入漏洞(QVD-2023-48476)
0xSec
04-04 1224
由于金蝶Apusic应用服务器权限验证不当,导致攻击者可以向createDataSource接口执行JNDI注入,造成远程代码执行。利用该漏洞需低版本JDK且需要服务器上有数据库驱动。
金蝶AAS (Apusic Application Server) v10 部署SuperMap iServer 2025 详细教程
最新发布
非法小恋
09-23 5万+
金蝶Apusic应用服务器Apusic Application Server,AAS)是一款标准、安全、高效、集成并具丰富功能的企业级应用服务器软件,本文介绍SuperMap iServer 2025 最新版在 AAS v10中部署流程及注意事项等
金蝶中间件(Apusic 9.0.7)安全加固以及更改后台管理页面名称
禅与代码的艺术
03-14 2454
主要用于解决当网页运行报400错误时,暴露中间件版本信息号,以及用户开发的程序名称为admin的情况
金蝶Apusic应用服务器 loadTree JNDI注入漏洞
Keepb1ue的博客
01-05 3470
金蝶Apusic是一款企业级应用服务器,支持Java EE技术,适用于各种商业环境。由于金蝶Apusic应用服务器权限验证不当,使用较低JDK版本,导致攻击者可以向loadTree接口执行JNDI注入远程加载恶意类,造成远程代码执行
Apusic Application Server1.0中jsp源代码泄漏漏洞
java专栏
05-22 1347
google_ad_client = "pub-8800625213955058";/* 336x280, 创建于 07-11-21 */google_ad_slot = "0989131976";google_ad_width = 336;google_ad_height = 280;//<script type="text/java
金蝶Apusic应用服务器 未授权目录遍历漏洞复现
0xSec
04-05 1890
由于金蝶Apusic应用服务器/admin/protected/selector/server_file/files、/admin/protected/selector/server_file/folders 等接口没有进行校验和过滤,直接将参数拼接到文件操作中,导致出现目录遍历漏洞,未经身份验证的远程攻击者可通过此漏洞读取系统内部系统文件路径及信息,导致信息泄露,系统处于极不安全状态。
中间件产品-金蝶Apusic应用服务器V10SP8-用户手册.pdf中间件金蝶Apusic应用服务器V10SP8用户手册:安装配置与集群管理技术指南
09-10
内容概要:本文档为金蝶Apusic应用服务器V10SP8的用户手册,系统介绍了该中间件产品的安装、配置、管理与运维操作。内容涵盖快速入门指南、管理控制台使用、服务器集群管理、国密配置、第三方监控集成、兼容性说明及...
金蝶 Apusic 应用服务器任意文件上传漏洞
Keepb1ue的博客
12-20 2359
金蝶 Apusic 应用服务器存在一个任意文件上传漏洞,攻击者可以通过构造恶意请求上传恶意文件到服务器,导致服务器失陷。
Goby 漏洞发布| Apusic 应用服务器 createDataSource 远程代码执行漏洞
m0_46699477的博客
12-20 803
金蝶 Apusic 应用服务器Apusic Application Server,AAS)是一款标准、安全、高效、集成并具丰富功能的企业级应用服务器软件,全面支持 JakartaEE 8/9的技术规范,提供满足该规范的 Web 容器、 EJB 容器以及 WebService 容器等,支持 Websocket 1.1、Servlet4.0、HTTP 2.0等最新的技术规范,为企业级应用的便捷开发、灵活部署、可靠运行、高效管控以及快速集成等提供关键支撑。
金蝶Apusic应用服务器 任意文件上传漏洞复现
0xSec
11-27 2923
金蝶Apusic应用服务器deployApp接口存在任意文件上传漏洞,攻击者可通过双斜杠绕过鉴权并上传恶意压缩包接管服务器权限。
Apusic应用服务器6.0使用手册(CHM格式)
10-08
金蝶Apusic应用服务器6.0是一款标准、安全、高效、集成并且具有丰富功能的企业级应用服务器(Enterprise Application Server),它用于实现基于SOA的企业应用和服务,为企业应用和服务提供坚不可摧的基础架构支撑。金蝶Apusic应用服务器6.0在5.0的基础上进行了大量扩充和优化,在产品功能、性能、安全性、扩展性及兼容性等方面得到显著提升。金蝶Apusic应用服务器6.0大大简化了创建和管理Java EE应用的任务,并为之提供了可伸缩、高性能、高可用的运行环境。 1.1. 关于本发行说明 本发行说明包含金蝶Apusic应用服务器6.0发行时的重要信息,主要包括新增加的功能、改进或增强的功能、已处理和解决的问题等。开始使用金蝶Apusic应用服务器6.0之前,请先阅读本文档。
金蝶应用服务器的安装部署
03-24
NULL 博文链接:https://javawjy.iteye.com/blog/1076300
漏洞复现】金蝶 EAS createdatasource jndi 远程代码执行漏洞
qq_67810151的博客
04-03 814
金蝶 EAS 存在JNDI注入漏洞,未授权的攻击者可以通过该漏洞进行远程代码执行,导致服务器被控制。
信创环境金蝶Apusic应用服务器(AAS)使用
weixin_42521431的博客
01-03 2904
信创环境金蝶Apusic应用服务器(AAS)使用
Goby 漏洞发布| 金蝶 EAS createDataSource 路径 jndiName 参数远程代码执行漏洞
m0_46699477的博客
12-22 686
金蝶 EAS Cloud 融合了金蝶苍穹的 gPaaS 功能,是基于云原生架构的平台产品,可以进行容器化部署,具备一切云原生的架构特性,是一款拥有最先进底层架构的平台产品。金蝶 EAS Cloud 存在 jndi 注入漏洞,攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个web服务器。
金蝶Apusic应用服务器deployApp接口任意文件上传漏洞复现 [附POC]
薛定谔嘚喵博客
12-02 1020
金蝶Apusic应用服务器 deployApp 接口存在任意文件上传漏洞,击者可通过双斜杠绕过鉴权并上传恶意压缩包到服务器,导致远程代码执行,危及服务器安全,接管服务器权限。
Apusic Application Server技术白皮书 (转)
circularr9834的博客
08-12 252
Apusic Application Server技术白皮书 (转)[@more@]什么是应用服务器? 所有的企业级应用系统必须构建在一个完整的系统框架中,这个系统框架提供企业级计算所必须的五项关键技术: 交易完整性 ...
AntDB数据库携手金蝶Apusic应用服务器, 共促信创产业繁荣发展
weixin_44518445的博客
11-28 1116
通过双方的优势互补,为用户提供更全面、高效、安全的数智化办公环境。金蝶Apusic应用服务器Apusic Application Server,AAS)是一款标准、安全、高效、集成并具丰富功能的企业级应用服务器软件,全面支持JakartaEE8/9的技术规范,提供满足该规范的Web容器、EJB容器以及WebService容器等,支持Websocket1.1、Servlet4.0、HTTP2.0等最新的技术规范,为企业级应用的便捷开发、灵活部署、可靠运行、高效管控以及快速集成等提供关键支撑。
金蝶Apusic应用服务器6.0:SOA时代的中间件领袖
"Apusic应用服务器6.0是一款由金蝶中间件公司推出的,基于国际标准如JCP和TheOpenGroup规范的中间件产品。它在企业级应用中扮演着重要角色,尤其在SOA(面向服务的架构)环境下。这款应用服务器采用坚固的微内核体系...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值