漏洞说明

根据国家网络安全职能部门通报，北京心领育科技有限公司研发的“心理健康教育大数据平台”存在任意文件上传漏洞，攻击者可通过该漏洞上传恶意文件，进而获取服务器控制权限。

漏洞危害

高危

漏洞路径

文件上传漏洞

/plug/ueditorUploadImage.do

文件下载漏洞

/plug/plugFileDownAnnex_out.do?filePathName=ue

上传漏洞

/plug/jsxlyCommon/ueditor/jsp/controller.jsp?action=uploadfile

安全建议

1.限制上传文件类型，只允许上传指定类型文件；

2.加强权限控制，严格控制上传目录权限，防止恶意文件被执行；

3.限制下载文件目录，仅允许下载指定目录下文件；

4.联系厂商技术人员进行修复。

自查整改

为确保重要网络和数据安全，请各单位做好自查工作，迅速组织排查该系统在本单位的使用情况，及时堵塞漏洞，切实做好网络安全防护。

根据自查情况，凡使用该平台的单位，请于 7 月 6 日 12 点前通过邮箱提交整改报告，报告应说明该平台是否存在漏洞、漏洞处置过程及处置结果、系统定级情况，并加盖单位公章，邮箱：hercert@ha.edu.cn。