漏洞描述:
Tryton是一款基于Python开发的开源企业资源规划ERP系统采用模块化设计,提供财务管理、销售采购、库存管理等功能,支持多层次安全管控和跨平台部署。
Trуtоn trуtоnd 6.0版本在7.6.11之前未对HTML编辑器的路由强制执行访问权限,此问题已在7.6.11、7.4.21、7.0.40和6.0.70 版本中修复
攻击场景:
攻击者可通过构造特定请求,利用HTML 编辑器相关路由未强制执行访问权限的缺陷绕过身份认证机制,直接访问受保护的管理功能或执行敏感操作例如上传恶意内容、修改系统配置或读取敏感数据
影响产品及版本:
Tryton(内容管理系统)受影响版本为Trуtоn trуtоnd 6.0之前版本,以及7.6.11之前版本(包括7.4.21、7.0.40等)
修复建议:
建议用户关注官方发布的安全更新和补丁,及时更新到最新版本以防止潜在的安全风险
短期内建议用户限制对Trуtоn的访问权限,确保只有授权用户可以访问系统
建议措施:
立即升级:所有使用Tryton 的系统应尽快升级至 7.6.11、7.4.21、7.0.40 或 6.0.70 及以上版本。
访问控制强化:在未升级前,建议通过防火墙或 WAF 限制对 /html_editor 或相关路由的访问,仅允许可信IP访问。
权限最小化:对系统用户实施最小权限原则,避免使用高权限账户进行日常操作。
日志监控:启用系统日志审计功能,监控对管理接口的异常访问行为,特别是非认证请求或异常参数调用。
资产普查:组织内部应开展 Tryton 系统资产清查,识别所有部署实例并评估其版本状态。 |
发表于 