广东顺景软件科技有限公司

0769-28682305
137 1237 0045

数智赋能为化工行业启动智能化发展引擎

20 + years of technological precipitation, new upgrading, creating digital intelligence capability

关于系统上传文件安全漏洞处理升级通知

发布日期:2025-03-06关键词:顺景软件升级

  尊敬的用户:


  您好!感谢您一直以来对顺景软件的支持与信任。


  为了提供更稳定、高效、安全的服务,我们计划进行系统升级和优化。


  在此我们向您发布系统升级通知:


  安全更新内容:


  1、 修复UploadInvtSpFile存在任意文件上传漏洞


  2、修复FileUpload存在任意文件上传漏洞


  修复方法:


  一、漏洞描述


  1.原系统存在未授权(匿名情况下可以上传)文件上传接口,未对上传文件类型进行严格校验


  2.攻击者可绕过限制上传恶意文件(如.jsp、.php、.exe、.asp等)


  3.可能导致服务器被植入木马、数据泄露、系统瘫痪等风险


  一、漏洞处理措施


  1.接口层安全加固

[TokenSimpleAuthorize// 路由级别权限验证注解

拦截未携带有效Token的请求

验证用户身份与操作权限的匹配性


  2.文件类型白名单控制

if (!WfAPI.UploadFileSafeCheck(rtn.extension))// .png.jpg后缀限制

    WfAPI.AbortError("上传文件服务器安全检查未通过,不能上传");

验证文件真实类型与扩展名一致性

仅允许图片、word、 pdf、excel、txtCAD等业务相关文件类型


  3. 特殊业务场景隔离(cgInvtSp/UploadInvtSpFile接口)


image.png


  ** 因为涉及重要安全更新,建议用户及时升级服务器程序及WebAPI至2.0 Build(1.0.0.0.3.4)版本 **


  安装升级包下载地址:


软件名称

SoftwareName

版本

Edition

下载

顺景S9智能ERP管理平台

2.0 Build(1.0.0.0.3.4)版本

http://www.tpu-s.com/uploads/202503/20250228(khsjgjb).rar

顺景S9智能ERP管理平台WEB升级

2025.02.28

http://www.tpu-s.com/uploads/202503/PDA-MES-LED-SRM-API-2025.02.28(sjb).rar


  升级操作指引:


  1、image.png系统升级程序为 双击运行;


  第一步先点击数据库检查,升级程序将会自动检查与数据库连接是否正常,如不正常将会在DBState提示连接失败;


image.png


  2、检查数据成功后,在DBState则会显示连接正常,勾选需要升级的数据库,然后点击升级数据库,程序就会自动进行升级,完成后系统会提示数据库脚本升级完成点击确定后即可;


image.png


image.png


  3、数据库页面升级完成后,还需要升级应用程序;第一步先点击应用程序页面(如下图),第二步点击更新程序,提示更新完成后,点击确定,完成系统升级;


image.png


image.png


  4、升级WebAPI,将安装包内对应程序的WebAPI文件至系统安装目录下WfSoftErpWebAPI文件进行替换升级;


  温馨提示:网络安全,不容小觑


  1、检查windows是否最新,更新Windows补丁包;


  2、开启Windows防火墙,不使用常用端囗80、3389、21等;


  3、安装杀毒软件,定期全盘扫描;


  4、把TTX软件更新到最新版:


  5、平台账号密码使用复杂密码,勾选安全测评中的密码加密、密码强度校验等功能;


  6、定期做好数据备份;



相关推荐