Goby 漏洞发布｜ 金蝶 EAS createDataSource 路径 jndiName 参数远程代码执行漏洞

漏洞名称：Apusic 应用服务器 createDataSource 远程代码执行漏洞

English Name：Kingdee EAS createDataSource path jndiName parameter remote code execution vulnerability

CVSS core: 9.8

影响资产数： 26513

漏洞描述：

金蝶 EAS Cloud 融合了金蝶苍穹的 gPaaS 功能，是基于云原生架构的平台产品，可以进行容器化部署，具备一切云原生的架构特性，是一款拥有最先进底层架构的平台产品。金蝶 EAS Cloud 存在 jndi 注入漏洞，攻击者可通过该漏洞在服务器端任意执行代码，写入后门，获取服务器权限，进而控制整个web服务器。

FOFA查询语句（点击直接查看结果）：

app=“Kingdee-EAS”

此漏洞已可在Goby漏扫/红队版进行扫描验证

下载Goby：Goby社区版下载

查看Goby更多漏洞：Goby历史漏洞合集

关注Goby公众号获取最新动态：Gobysec