中创应用服务器（简称InforSuite AS）是山东中创软件商用中间件股份有限公司的一款应用服务器产品，该产品是JavaEE和Web服务应用程序平台。

(一)、漏洞描述：

中创应用服务器软件V10存在使用默认账号密码登录，后台存在 war 包部署，可任意文件上传 getshell。

(二)、该漏洞的触发条件包括以下三条的合集：

1、中创应用服务器的管理工具暴露在外网；

2、中创应用服务器的管理工具使用默认密码，密码被攻击者获得；

3、中创应用服务器未开启安全性。

(三)、该漏洞解决方案如下:

1、排查中创应用服务器的管理工具是否暴露在外网，如果暴露在外网，则通过屏蔽管理工具端口（默认8060，以实际使用为准）的方式禁止外网可访问中创应用服务器的管理工具；

2、排除中创应用服务器的管理工具是否使用默认密码，如果使用默认密码，则进行修改，且修改为复杂度较高的密码，密码建议满足：大写字母、小写字母、数字、特殊符号（~！@#￥%^*()_）四种类型至少三种组混编，且不少于8位。

3、如果应用未使用shell脚本，开启管理工具中的安全管理器。