金蝶云星空 漏洞列表

Kingdee.BOS.ServiceFacade.ServicesStub.DynamicForm.DynamicFormService.CloseForm.common.kdsvc接口处存在远程代码执行漏洞,未经身份验证的远程攻击者可利用此漏洞执行任意系统命令，写入后门文件，获取服务器权限 Fofa: app="金蝶云星空-管理中心"

文件上传成功，访问路径：/K3Cloud/uploadfiles/{{randstr}}.ashx Fofa: icon_hash="-1629133697" && title=="金蝶云星空" ZoomEye: app:"金蝶云星空"

远程代码执行漏洞是指攻击者通过某些漏洞在服务器上执行任意代码，这通常是由于应用程序对外部输入的验证不足或处理不当造成的。攻击者可以利用这个漏洞上传恶意代码或直接通过HTTP请求发送恶意代码，从而控制服务器，进行包括数据窃取、网站篡改、服务器资源滥用等在内的多种恶意行为。

金蝶云星空是一款企业管理软件，广泛应用于企业资源计划（ERP）管理。该漏洞存在于AppDesignerService.RecordCurDevCodeInfo.common.kdsvc接口中，攻击者可以通过发送特制的请求包，执行任意代码，可能导致服务器被完全控制。

金蝶云星空是一款由金蝶软件（中国）有限公司开发的企业管理云平台，提供财务、供应链、生产制造等多领域的数字化解决方案。其 BusinessDataService.BatchLoad.common.kdsvc 接口存在远程代码执行漏洞，攻击者可以通过该漏洞在目标系统上执行任意代码，从而完全控制系统，导致严重的安全风险。

金蝶云星空 K3Cloud 存在反序列化漏洞，攻击者可利用该漏洞服务器执行任意命令。

金蝶云星空管理中心在servicegateway-getserviceuri-common存在反序列化漏洞，外部攻击者可通过使用恶意攻击手段对目标系统进行权限获取，进而接管服务器控制权。

金蝶云星空是一款云端企业资源管理（ERP）软件，为企业提供财务管理、供应链管理以及业务流程管理等一体化解决方案。其包含User接口存在反序列化漏洞，未授权攻击者可以直接利用此漏洞执行系统命令，获取服务器权限。

金蝶云星空存在敏感信息泄露漏洞。此漏洞是由于对用户的请求缺乏校验导致的。

金蝶云·星空是金蝶软件（中国）有限公司凭借26年对中国企业管理模式的深刻洞察和实践，基于云计算、大数据、社交、人工智能、物联网等前沿技术研发的新一代战略性企业管理软件。金蝶云星空 DynamicForm 存在反序列化漏洞，攻击者可利用该漏洞服务器执行任意命令。

金蝶云星空 DynamicFormService 反序列化漏洞

金蝶云星空 RecordCurDevCodeInfo 反序列化漏洞

金蝶云星空是金蝶软件（中国）有限公司凭借26年对中国企业管理模式的深刻洞察和实践，基于云计算、大数据、社交、人工智能、物联网等前沿技术研发的新一代战略性企业管理软件。金蝶云星空存在反序列化漏洞，攻击者可利用该漏洞获取服务器敏感信息。

/

/

/

/

/

/

/

/

/

金蝶云·星空是金蝶软件（中国）有限公司凭借26年对中国企业管理模式的深刻洞察和实践，基于云计算、大数据、社交、人工智能、物联网等前沿技术研发的新一代战略性企业管理软件。金蝶云星空存在反序列化漏洞，攻击者可利用该漏洞获取服务器敏感信息。

金蝶云·星空是金蝶软件（中国）有限公司凭借26年对中国企业管理模式的深刻洞察和实践，基于云计算、大数据、社交、人工智能、物联网等前沿技术研发的新一代战略性企业管理软件。金蝶云星空存在任意文件上传漏洞，攻击者可利用该漏洞获取服务器敏感信息。

金蝶云星空是一款云端企业资源管理（ERP）软件，为企业提供财务管理、供应链管理以及业务流程管理等一体化解决方案。2023年11月，互联网上披露金蝶云星空任意文件上传漏洞情报，攻击者可利用该漏洞上传任意文件，获取服务器控制权限。

金蝶云星空 /FileProxyHandler.kdfile 任意文件读取，攻击者可以获取服务器文件信息

金蝶云星空 CusShareService 存在SQL注入漏洞

金蝶云星空管理中心 是一款基于领先的可组装低代码 PaaS 平台，全面服务客户研发、生产、营销、供应链、财务等领域转型。攻击者可通过该漏洞读取系统重要文件（如数据库配置文件、系统配置文件）、数据库配置文件等等，导致网站处于极度不安全状态。

金蝶云星空 CommonFileserver 任意文件读取漏洞

金蝶云·星空是金蝶软件（中国）有限公司凭借26年对中国企业管理模式的深刻洞察和实践，基于云计算、大数据、社交、人工智能、物联网等前沿技术研发的新一代战略性企业管理软件。金蝶云星空存在文件读取漏洞，攻击者可利用该漏洞获取服务器敏感信息。

金蝶云星空-管理中心 是一款基于领先的可组装低代码PaaS平台，全面服务客户研发、生产、营销、供应链、财务等领域转型。金蝶云星空-管理中心 Kingdee.BOS.ServiceFacade.ServicesStub.DevReportService.GetBusinessObjectData.common.kdsvc 接口存在反序列化漏洞，攻击者可执行任意命令获取服务器权限。

金蝶云星空管理中心的通信层默认采用的是二进制数据格式，需要进行序列化与反序列化，在此通信过程中未做签名或校验，攻击者可以通过反序列化执行任意代码，导致系统被攻击与控制

金蝶云·星空是金蝶软件（中国）有限公司凭借26年对中国企业管理模式的深刻洞察和实践，基于云计算、大数据、社交、人工智能、物联网等前沿技术研发的新一代战略性企业管理软件。金蝶云星空存在文件读取漏洞，攻击者可利用该漏洞获取服务器敏感信息。

金蝶 K/3 以企业基础管理为核心设计思想，对覆盖产品（服务）价值链的业务的流程进行全面的计划、组织、协调，及对业务的有效处理和有效控制的管理。针对战略企业管理的特点，强调对企业基础数据、基本业务流程、内部控制、知识管理、员工行为规范等管理，通过丰富的工具与方法有机整合并提供贯穿战略企业管理全过程所需的决策信息，实时监控战略执行过程中的问题，帮助企业创造持续增长的核心竞争力。 金蝶K3存在任意文件上传漏洞，攻击者可利用该漏洞上传恶意文件，并控制服务器权限

金蝶软件(中国)有限公司成立于1993年08月05日，经营范围包括一般经营项目是：生产、开发、经营电脑软硬件、技术培训及信息方面的咨询服务。产品内外销比例按有关规定办。