漏洞说明

根据国家网络安全职能部门通报，北京易普拉格科技股份有限公司研发的“科研创新服务平台”存在 XXE 漏洞，统一建设的“高校科技管理云服务平台”不涉及该漏洞。该漏洞系原系统发布时预留的与微信公众号对接的 weixinServlet 服务导致，攻击者可利用该漏洞加载恶意文件，从而导致未授权数据访问、远程代码执行等危害。

漏洞危害

高危

处置措施

在项目工程的 web.xml 文件，搜索“/coreServlet”，删除下面内容：

<servlet>

<servlet-name>weixinCheck</servlet-name>

<servlet-class>com.eplugger.weixin.util.WeixinCheck</servlet-class>

</servlet>

<servlet>

<servlet-name>userServlet</servlet-name>

<servlet-class>com.eplugger.weixin.user.action.UserServlet</servlet-class>

</servlet>

<servlet-mapping>

<servlet-name>weixinCheck</servlet-name>

<url-pattern>/coreServlet</url-pattern>

</servlet-mapping>

<servlet-mapping>

<servlet-name>userServlet</servlet-name>

<url-pattern>/userServlet</url-pattern>

</servlet-mapping>

<servlet>

<servlet-name>weixinServlet</servlet-name>

<servlet-class>com.eplugger.weixin.servlet.WeixinServlet</servlet-class>

</servlet>

<servlet-mapping>

<servlet-name>weixinServlet</servlet-name>

<url-pattern>/weixinServlet</url-pattern>

</servlet-mapping>

安全建议

1.采取直接删除相关文件和配置的修复方式，移除weixinServlet 服务；

2.联系厂商技术人员进行修复。

自查整改

为确保重要网络和数据安全，请各单位做好自查工作，迅速组织排查该系统在本单位的使用情况，及时堵塞漏洞，切实做好网络安全防护。

根据自查情况，凡使用该平台的单位，请于 7 月 6 日 12 点前通过邮箱提交整改报告，报告应说明该平台是否存在漏洞、漏洞处置过程及处置结果、系统定级情况，并加盖单位公章，邮箱：hercert@ha.edu.cn。