政府系统曝高危漏洞:Partner软件默认管理员密码与XSS漏洞可导致远程代码执行
💡
原文中文,约1300字,阅读约需4分钟。
📝
内容提要
CERT/CC发布公告,指出Partner Software的产品存在三个高危漏洞:文件上传、默认凭证和存储型XSS,可能导致远程控制系统。已发布补丁,建议用户及时更新。
🎯
关键要点
-
CERT/CC发布公告,指出Partner Software的产品存在三个高危漏洞:文件上传、默认凭证和存储型XSS。
-
这些漏洞可能导致远程控制系统,影响市政机构、州政府及承包商的外勤作业应用程序。
-
CVE-2025-6076文件上传漏洞允许认证用户上传恶意文件至服务器。
-
CVE-2025-6077默认凭证漏洞使得未修改默认密码的系统易被攻击者控制。
-
CVE-2025-6078存储型XSS漏洞允许攻击者注入恶意JavaScript代码。
-
受影响的系统包括地方政府外勤服务系统和公用事业公司测绘平台。
-
系统沦陷可能导致关键外勤数据被篡改或敏感服务器被未授权访问。
-
Partner Software已发布4.32.2版本补丁,修复了上述漏洞。
-
补丁内容包括移除默认管理员账号、强制净化注释输入框和限制文件上传扩展名。
❓
延伸问答
Partner Software存在哪些高危漏洞?
Partner Software存在三个高危漏洞:文件上传漏洞、默认凭证漏洞和存储型XSS漏洞。
CVE-2025-6077漏洞的危害是什么?
CVE-2025-6077漏洞使得未修改默认密码的系统易被攻击者控制,可能导致系统完全沦陷。
如何修复Partner Software的安全漏洞?
用户应及时更新至4.32.2版本补丁,修复内容包括移除默认管理员账号和限制文件上传扩展名。
这些漏洞可能影响哪些系统?
受影响的系统包括地方政府外勤服务系统和公用事业公司测绘平台。
存储型XSS漏洞的具体表现是什么?
存储型XSS漏洞允许攻击者注入恶意JavaScript代码,可能导致跨站脚本攻击。
为什么默认凭证漏洞被认为更严重?
因为所有版本的Partner Web均预置相同默认管理员账号密码,未修改者易被攻击者快速控制系统。
➡️
