关于金蝶EAS easWebClient 任意文件读取情况说明原创
金蝶云社区-技术支持公告专用
技术支持公告专用
27人赞赏了该文章 3,357次浏览 未经作者许可,禁止转载编辑于2024年05月06日 11:19:28

        针对近期反馈的“金蝶EAS easWebClient 接口存在任意文件读取问题“。我司高度重视并立即组织相关人员进行核查,详细情况如下:

一、技术分析

        报告中表明,EAS服务中存在/easWebClient/deploy/client/ctrlhome/webapps/extweb/WEB-INF/web.xml敏感文件可被下载。对此做如下说明:

        金蝶 EAS 系统是基于金蝶 BOS 平台搭建的企业数字化转型的最佳实践,在产品迭代过程中不断演进,同时支持C/S和B/S两种模式,以满足客户在不同场景下的使用需求。

        其中在C/S模式下,客户端基于java语言开发图形化界面,同时采用Smart Client技术,自动保持与服务端组件一致。产品更新时,补丁只需要在服务端安装(其中包含了客户端组件)。客户端检测到需要更新(对比文件MD5 hash值)时,先更新文件到本地,然后再加载组件。

        为满足上述一致性要求,产品架构设计时增设/easWebClient路径提供客户端所需的检测更新服务,且对访问做了严格校验,禁止访问easWebClient以外的服务端运行文件。此次通报中涉及的/easWebClient/deploy/client/ctrlhome/webapps/extweb/WEB-INF/web.xml文件也在此范围内。

二、分析结论

        easWebClient是EAS在C/S架构下提供给客户端下载运行期文件的服务,由于客户端也是基于java语言,所以也会包含如web.xml类型的文件。金蝶给客户端使用的文件,不属于敏感文件,不存在安全风险,因此这种情况不属于“敏感文件泄漏”。

三、佐证材料

        报告中提及的/easWebClient/deploy/client/ctrlhome/webapps/extweb/WEB-INF/web.xml文件,其功能为客户端设计移动设备上使用的报表时,会在客户端本地启动WEB服务,模式实际使用应用,相关效果如下:

上传图片


图标赞 27
27人点赞
还没有人点赞,快来当第一个点赞的人吧!
图标打赏
0人打赏
还没有人打赏,快来当第一个打赏的人吧!