漏洞说明

根据国家网络安全职能部门通报，联奕科技股份有限公司研发的“统一身份认证平台”(以下简称“平台”) downloadFile接口存在任意文件读取漏洞，攻击者可通过该漏洞获取服务器敏感信息，存在较大安全风险。

漏洞编号

   无

漏洞危害

高危

漏洞验证

访问漏洞问题链接

https://XXXXX/api/bd-api/apiSearch/downloadFile?

filename=..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fetc%2Fpasswd，

验证结果为不能下载，表明漏洞不存在或已修复。

安全建议

1. 漏洞处理：

（1） 更新最新的基础服务镜像（24年3月以后的网关和权限平台不用更新，其他都需要更新）；

（2） 修改网关配置文件（ly-gateway-server-svc-dev.yml）。

自查整改

为确保重要网络和数据安全，请各单位做好自查工作，迅速组织排查该系统在本单位的使用情况，及时堵塞漏洞，切实做好网络安全防护。