Apusic 漏洞列表

金蝶Apusic应用服务器是国内第一个通过J2EE测试认证的应用服务器，全球第四家获得JavaEE 5.0认证授权的产品，完全实现J2EE等企业计算相关的工业规范及标准代码简洁优化，具备了数据持久性、事务完整性、消息传输的可靠性、集群功能的高可用性、以及跨平台的支持等特点。金蝶Apusic应用服务器 server_file处存在目录遍历漏洞，攻击者可以从其中获取网站路径等敏感信息进一步攻击。 fofa：app="Apusic-公司产品" && title=="欢迎使用Apusic应用服务器"

金蝶Apusic应用服务器（Apusic Application Server，AAS）是一款标准、安全、高效、集成并具丰富功能的企业级应用服务器软件，全面支持JakartaEE8/9的技术规范，提供满足该规范的Web容器、EJB容器以及WebService容器等，支持Websocket1.1、Servlet4.0、HTTP2.0等最新的技术规范，为企业级应用的便捷开发、灵活部署、可靠运行、高效管控以及快速集成等提供关键支撑。由于金蝶Apusic应用服务器 /admin/protected/selector/server_file/folders 接口没有进行校验和过滤，直接将参数拼接到文件操作中，导致出现目录遍历漏洞，未经身份验证的远程攻击者可通过此漏洞读取系统内部系统文件路径及信息，导致信息泄露，系统处于极不安全状态。

金蝶Apusic应用服务器是一款企业级应用服务器，支持Java EE技术。金蝶Apusic中存在JNDI注入漏洞，此漏洞是对LoadTree接口对参数数据缺乏校验导致的。

金蝶Apusic应用服务器是一款企业级应用服务器，支持Java EE技术。金蝶Apusic中存在JNDI注入漏洞，此漏洞是对createDataSource接口对参数数据缺乏校验导致的。

金蝶Apusic应用服务器（Apusic Application Server，AAS）是一款标准、安全、高效、集成并具丰富功能的企业级应用服务器软件，全面支持JakartaEE8/9的技术规范，提供满足该规范的Web容器、EJB容器以及WebService容器等，支持Websocket1.1、Servlet4.0、HTTP2.0等最新的技术规范，为企业级应用的便捷开发、灵活部署、可靠运行、高效管控以及快速集成等提供关键支撑。Apusic 应用服务器存在目录遍历漏洞，攻击者可能通过浏览⽬录结构，访问到某些隐秘⽂件包括配置⽂件、⽇志、源代码等，配合其它漏洞的综合利⽤，攻击者可以轻易的获取更⾼的权限。

/

/

/

金蝶Apusic应用服务器 存在未授权目录遍历漏洞，未经身份验证的攻击者可以读取内部配置文件路径及信息

由于金蝶Apusic应用服务器权限验证不当，导致攻击者可以向createDataSource接口执行JNDI注入，造成远程代码执行。利用该漏洞需低版本JDK且需要服务器上有数据库驱动。

金蝶天燕-ApusicServer createdatasource 远程命令执行

金蝶 Apusic 应用服务存在文件上传漏洞，此漏洞是由于deployApp对请求中的参数数据验证不足导致的。

金蝶 Apusic 应用服务存在文件上传漏洞，此漏洞是由于deployApp对请求中的参数数据验证不足导致的。

金蝶 Apusic 应用服务器（Apusic Application Server，AAS）是一款标准、安全、高效、集成并具丰富功能的企业级应用服务器软件，全面支持 JakartaEE 8/9的技术规范，提供满足该规范的 Web 容器、 EJB 容器以及 WebService 容器等，支持 Websocket 1.1、Servlet4.0、HTTP 2.0等最新的技术规范，为企业级应用的便捷开发、灵活部署、可靠运行、高效管控以及快速集成等提供关键支撑。金蝶 Apusic 应用服务器（Apusic Application Server，AAS）存在代码执行漏洞，攻击者可通过该漏洞在服务器端任意执行代码，写入后门，获取服务器权限，进而控制整个 web 服务器。

金蝶 Apusic 应用服务器（Apusic Application Server，AAS）是一款标准、安全、高效、集成并具丰富功能的企业级应用服务器软件，全面支持 JakartaEE 8/9的技术规范，提供满足该规范的 Web 容器、 EJB 容器以及 WebService 容器等，支持 Websocket 1.1、Servlet4.0、HTTP 2.0等最新的技术规范，为企业级应用的便捷开发、灵活部署、可靠运行、高效管控以及快速集成等提供关键支撑。金蝶 Apusic 应用服务器（Apusic Application Server，AAS）存在代码执行漏洞，攻击者可通过该漏洞在服务器端任意执行代码，写入后门，获取服务器权限，进而控制整个 web 服务器。

远程代码执行漏洞是指攻击者通过某些漏洞在服务器上执行任意代码，这通常是由于应用程序对外部输入的验证不足或处理不当造成的。攻击者可以利用这个漏洞上传恶意代码或直接通过HTTP请求发送恶意代码，从而控制服务器，进行包括数据窃取、网站篡改、服务器资源滥用等在内的多种恶意行为。

金蝶Apusic应用服务器（Apusic Application Server，AAS）是一款标准、安全、高效、集成并具丰富功能的企业级应用服务器软件，该服务器存在任意文件上传漏洞

金蝶Apusic应用服务器的管控台存在访问路径权限控制失效、对参数校验不严格的问题。攻击者可以构建绕过权限控制的请求，恶意访问和操作管控台，导致安全风险，配合其他安全缺陷即可导致远程代码执行

金蝶Apusic应用服务器是国内第一个遵循J2EE标准的自有知识产权的纯Java应用服务器。金蝶Apusic应用服务器 deployApp 接口存在任意文件上传漏洞，攻击者可通过双斜杠绕过鉴权并上传恶意压缩包接管服务器权限。

【漏洞对象】Kingdee 【漏洞描述】 泄露源码、数据库配置文件等等，导致网站处于极度不安全状态。