政府系统曝高危漏洞:Partner软件默认管理员密码与XSS漏洞可导致远程代码执行
💡
原文中文,约1300字,阅读约需4分钟。
📝
内容提要
CERT/CC发布公告,指出Partner Software的产品存在三个高危漏洞:文件上传、默认凭证和存储型XSS,可能导致远程控制系统。已发布补丁,建议用户及时更新。
🎯
关键要点
- CERT/CC发布公告,指出Partner Software的产品存在三个高危漏洞:文件上传、默认凭证和存储型XSS。
- 这些漏洞可能导致远程控制系统,影响市政机构、州政府及承包商的外勤作业应用程序。
- CVE-2025-6076文件上传漏洞允许认证用户上传恶意文件至服务器。
- CVE-2025-6077默认凭证漏洞使得未修改默认密码的系统易被攻击者控制。
- CVE-2025-6078存储型XSS漏洞允许攻击者注入恶意JavaScript代码。
- 受影响的系统包括地方政府外勤服务系统和公用事业公司测绘平台。
- 系统沦陷可能导致关键外勤数据被篡改或敏感服务器被未授权访问。
- Partner Software已发布4.32.2版本补丁,修复了上述漏洞。
- 补丁内容包括移除默认管理员账号、强制净化注释输入框和限制文件上传扩展名。
➡️
