发布日期：2012-06-22
更新日期：2012-06-22

受影响系统：

esensoft i@Report 4.2.2
esensoft i@Report 4.2.1

描述：

---

i@Report是北京亿信华辰软件有限责任公司开发的WEB报表汇总统计平台，允许用户任意设计报表样式，并通过报表服务器实现数据报送、汇总、分析等一条龙服务，可广泛应用于政府机关、大型企业的计划、统计、财务、业务、管理等部门，也可用于构建基于互联网的数据采集、网上直报、网络报表等工作平台。

i@Report平台某些功能页面未对用户的身份进行验证，导致攻击者可以直接访问该功能并利用其下载任意文件。攻击者可以通过获取敏感配置文件进一步得到平台甚至操作系统的管理权限。


<*来源：anonymous
  *>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

1. 暂时禁用或删除该功能页面。
2. 在防火墙上禁止不可信任IP对该平台的访问。
3. 在WAF等安全设备上禁止对该功能页面的访问。

厂商补丁：

esensoft
--------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.esensoft.com

浏览次数：3564
严重程度：0（网友投票）