请问此漏洞是否会对CUBA产生影响?是否需要处理?
我国国产JavaEE中间件组件tongweb 存在零日漏洞,可能导致攻击者上传恶意文件并getshell。
预警编号: SAL2021-B027
漏洞详情:
tongweb 管理后台存在不可见、不可更改密码的用户‘cli’,可绕过组件的身份认证,调用隐蔽的文件上传接口进行任意文件上传,上传路径为sysweb/upload。具体技术详情可参考附件。
影响版本:
tongweb 7.0
相关版本信息如下:
CUBA Studio Version 6.7.1
Apache Tomcat Version 8.5.21
