中创应用服务器(简称inforsuite as)是山东中创软件商用中间件股份有限公司的一款应用服务器产品,该产品是javaee和web服务应用程序平台。
(一)、漏洞描述:
中创应用服务器软件v10存在使用默认账号密码登录,后台存在 war 包部署,可任意文件上传 getshell。
(二)、该漏洞的触发条件包括以下三条的合集:
1、中创应用服务器的管理工具暴露在外网;
2、中创应用服务器的管理工具使用默认密码,密码被攻击者获得;
3、中创应用服务器未开启安全性。
(三)、该漏洞凯时k66会员登录的解决方案如下:
1、排查中创应用服务器的管理工具是否暴露在外网,如果暴露在外网,则通过屏蔽管理工具端口(默认8060,以实际使用为准)的方式禁止外网可访问中创应用服务器的管理工具;
2、排除中创应用服务器的管理工具是否使用默认密码,如果使用默认密码,则进行修改,且修改为复杂度较高的密码,密码建议满足:大写字母、小写字母、数字、特殊符号(~!@#¥%^*()_)四种类型至少三种组混编,且不少于8位。
3、如果应用未使用shell脚本,开启管理工具中的安全管理器。
