openSIS远程代码执行漏洞
openSIS是一款免费、开源的学生信息系统/学校管理软件。
一、漏洞分析
公开日期:2020-09-05
漏洞编号:CNVD-2020-50534/CVE-2020-6144
危害等级:高危
漏洞描述:openSIS 7.4中的安装功能存在远程代码执行漏洞。攻击者可通过发送HTTP请求通过在install/Step5.php中的第121行设置的用户名变量利用该漏洞将PHP代码注入Data.php文件,从而可实现远程代码执行。
二、漏洞影响范围
OS4Ed openSIS 7.4
三、漏洞处置建议
厂商已发布了漏洞修复程序,请及时关注更新:
https://opensis.com/
