高危10.0.5<=AS<=10.0.5.2.2
返回

InforSuite AS存在H2控制台JNDI远程代码执行漏洞

漏洞级别:高危
漏洞编号:CVE-2021-42392
漏洞影响版本:10.0.5<=AS<=10.0.5.2.2
漏洞发布时间:2022.01.14

漏洞描述

H2 存在远程代码执行漏洞,该漏洞是由于 H2 控制台可以通过 JNDI 从远程服务器加载自定义类,攻击者可利用该漏洞在未授权的情况下,构造恶意请求,触发远程代码执行漏洞。

修复方案

  • 方案一:删除h2db文件夹;修改as/config文件夹下的asenv.bat或asenv.conf(根据环境选择),删除"set AS_H2_INSTALL=....h2db" 。
  • 方案二:对于V10.0.5、V10.0.5.0.1版本,若需使用h2数据库,则升级AS应用服务器到安全版本;对于V10.0.5.2、V10.0.5.2.1、V10.0.5.2.2版本提供对应安全补丁包。

补丁获取

请联系中创工作人员,获取相应版本的漏洞补丁包,在工作人员指导下进行漏洞补丁修复

扫码关注公众号

中创股份公众号二维码

联系方式

电话:400-618-6180

邮箱:support@inforbus.com

在线服务在线服务