一、基本情况

金蝶Apusic应用服务器存在远程代码执行漏洞，攻击者可以构建绕过权限控制的请求，恶意访问和操作管控台，配合其他安全缺陷即可导致远程代码执行，存在敏感数据泄露、被勒索等风险。

二、影响版本

V9.0 SP7及以下版本

三、处置建议

1. 使用防护类设备，对url中存在“//”特征的恶意请求进行重点监控；

2.如非必要，避免将资产暴露在互联网或使用网络ACL限制访问来源；

3.不影响业务的情况下，暂停应用服务器管理控制台和移除默认首页。

厂商已发布修复方案，已经在最新的V9.0 SP8版本解决：https://www.apusic.com/view-477-113.html