尊敬的用户：

　　您好！感谢您一直以来对顺景软件的支持与信任。

　　为了提供更稳定、高效、安全的服务，我们计划进行系统升级和优化。

　　在此我们向您发布系统升级通知:

　　安全更新内容：

　　1、 修复UploadInvtSpFile存在任意文件上传漏洞

　　2、修复FileUpload存在任意文件上传漏洞

　　修复方法：

　　一、漏洞描述

　　1.原系统存在未授权（匿名情况下可以上传）文件上传接口，未对上传文件类型进行严格校验

　　2.攻击者可绕过限制上传恶意文件（如.jsp、.php、.exe、.asp等）

　　3.可能导致服务器被植入木马、数据泄露、系统瘫痪等风险

　　一、漏洞处理措施

　　1.接口层安全加固

[TokenSimpleAuthorize] // 路由级别权限验证注解

拦截未携带有效Token的请求

验证用户身份与操作权限的匹配性

　　2.文件类型白名单控制

if (!WfAPI.UploadFileSafeCheck(rtn.extension))// .png、.jpg后缀限制

    WfAPI.AbortError("上传文件服务器安全检查未通过，不能上传");

验证文件真实类型与扩展名一致性

仅允许图片、word、 pdf、excel、txt、CAD等业务相关文件类型

　　3. 特殊业务场景隔离（cgInvtSp/UploadInvtSpFile接口）

　　** 因为涉及重要安全更新，建议用户及时升级服务器程序及WebAPI至2.0 Build（1.0.0.0.3.4）版本 **

　　安装升级包下载地址：

　　升级操作指引：

　　1、系统升级程序为 双击运行；

　　第一步先点击数据库检查，升级程序将会自动检查与数据库连接是否正常，如不正常将会在DBState提示连接失败；

　　2、检查数据成功后，在DBState则会显示连接正常，勾选需要升级的数据库，然后点击升级数据库，程序就会自动进行升级，完成后系统会提示数据库脚本升级完成点击确定后即可；

　　3、数据库页面升级完成后，还需要升级应用程序；第一步先点击应用程序页面（如下图），第二步点击更新程序，提示更新完成后，点击确定，完成系统升级；

　　4、升级WebAPI,将安装包内对应程序的WebAPI文件至系统安装目录下WfSoftErpWebAPI文件进行替换升级；

　　温馨提示：网络安全，不容小觑

　　1、检查windows是否最新，更新Windows补丁包；

　　2、开启Windows防火墙，不使用常用端囗80、3389、21等;

　　3、安装杀毒软件，定期全盘扫描;

　　4、把TTX软件更新到最新版:

　　5、平台账号密码使用复杂密码，勾选安全测评中的密码加密、密码强度校验等功能；

　　6、定期做好数据备份；