近期,国家信息安全漏洞共享平台(CNVD)收录了深圳市颖源科技有限公司(简称颖源公司)生产的E3 CMS2006网站内容管理系统(简称E3 CMS软件)存在的三个安全漏洞(CNVD-2011-06454、CNVD-2011-06453、CNVD-2011-06452)。其中,部分漏洞可被利用获得系统管理员权限,影响涉及我国多家政府部门和电信、金融、保险、地产等行业单位。相关情况通报如下:
一、漏洞情况分析
E3 CMS软件是由颖源公司生产的用于搭建企业级网站的CMS软件(即内容管理系统)。根据中国电力科学院研究院信息安全实验室和CNVD的测试结果,E3 CMS2006内容管理系统存在三个安全漏洞,分别为:越权访问漏洞、敏感信息泄露漏洞和任意文件上传漏洞。
具体情况如下:
(1)越权访问漏洞是由于权限管理模块未对登录用户访问特权页面时进行二次鉴权,导致普通用户可修改其他所有用户的密码及权限,甚至可提升自身权限为超级管理员;
(2)敏感信息泄露漏洞是由于系统未对文件访问操作进行登录验证,致使攻击者可获取系统文件列表、用户列表等敏感信息;
(3)任意文件上传漏洞是由于系统上传页面未对用户上传的文件类型进行合法性验证,用户可上传网页木马获取服务器的完全控制权。
二、漏洞影响范围
受影响的版本是E3 CMS 2006 JAVA Build20070618。CNVD对“越权访问漏洞”和“任意文件上传漏洞”的综合评级为“高危”,“敏感信息泄露漏洞”的综合评级为“中危”。
根据颖源公司官方网站公布的客户列表(参见附件),该产品用户包括多个政府部门以及电信、金融、保险、地产等领域的知名企业。
三、漏洞处置建议
CNVD于7月25日联系了颖源公司,但该公司未做出积极回应,未能按CNVD处置流程要求提供技术细节,也未能明确漏洞修补时间以及如何做好客户应急服务的计划。CNVD建议应对措施如下:
(一)建议相关用户自行联系颖源公司,要求其针对漏洞情况提供临时解决方案;
(二)相关用户也可以参照上述漏洞情况自行对网站进行Web页面漏洞的检测,及时发现存在的安全隐患。
附件:颖源公司E3网站内容管理系统部分客户列表
来源:http://www.yysoft.com/Catalog_31.aspx
CNVD将持续跟踪漏洞处置情况,如需技术支援,请联系CNVD。联系电话:010-82990286,邮箱:vreport@cert.org.cn,网站: www.cnvd.org.cn。