我司于8月10日监测到WebPlus网站群领导信箱等模块存在疑似数据泄漏的问题,公司第一时间予以彻底修复,现将具体修复情况说明如下:
问题分析及解决方案
1、漏洞地址:/_web/site/loadSiteTreeGrid.do
解决方案:增加filter限制,仅供制作服务器的内部实名用户可以访问。
2、漏洞地址:/_web/leadermail/addMailBoxMain.jsp
解决方案:增加filter限制,仅供制作服务器的内部实名用户可以访问。
3、漏洞地址:/login.jsp
解决方案:增加filter限制,发布服务器的login.jsp 和 index.jsp不允许访问。
4、漏洞地址:/_web/_platform/teacherHome/teachSites.jsp
解决方案:增加filter限制,仅供制作服务器的内部实名用户可以访问。
*备注:以上四种情况涉及的模块在发布服务器的时候,都不可以访问。
通过本次数据分析可见:此模块可能会对站点列表及用户姓名、工号等基本信息泄露,密码等相关核心数据不受影响,请广大客户放心。由于信息安全标准的提升,此前一些可公开的信息,目前已经被列为信息泄露的范畴,为此产品将对相关地址做严格的实名限制,以后匿名将无法访问此类数据,请给予理解!
客户致歉及承诺
对于本次领导信箱等模块疑似信息泄露的问题给不少用户带来的不良的体验,我们深表歉意!信息安全是个永恒的主题,也是我们产品的重点关注的要点,在今后的产品迭代过程中,我们更希望与您一起共建互联网信息安全生态环境,共同为师生提供放心、满意的服务!
南京苏迪科技有限公司
运维服务部
2019年8月12日
关于WebPlus网站群领导信箱等模块存在信息泄露的情况说明2019.8.12.doc