本文共 772 字，大约阅读时间需要 2 分钟。

LiveBOS UploadFile.do 存在重大安全漏洞

产品简介

LiveBOS（Live Business Object System）由顶点软件自主研发，是一种以业务对象建模为核心的业务中间件及其开发工具。该系统通过业务模型直接完成软件开发，支持基于WEB的专业应用与行业大型应用的开发。系统主要包含三个独立产品：LiveBOS Server（运行支持支撑平台）、LiveBOS Studio（开发集成环境）以及LiveBOS Manager（运维管理工具）。

漏洞概述

LiveBOS 系统中 LiveBOS UploadFile.do 接口存在严重的文件上传安全漏洞。该漏洞导致未经身份验证的攻击者能够在服务器端执行任意代码，写入后门并获取服务器权限，从而控制整个 web 服务器。

漏洞影响范围

该漏洞影响所有版本的 LiveBOS（<= 3.9.0），用户务必及时修复以防御潜在的安全威胁。

漏洞复现环境

为了验证漏洞的存在，建议在以下环境中进行测试：

• FOFA（功能验证环境）

  body="Power by LiveBOS"

漏洞复现方法

以下是触发漏洞的 Proof of Concept（PoC）代码：

POST /feed/UploadFile.do HTTP/1.1Host: example.comContent-Type: multipart/form-dataContent-Disposition: form-data; name="file"; filename="malicious.php"

修复建议

建议立即更新 LiveBOS 到最新版本，并部署 Web Application Firewall（WAF）或类似安全工具，以防止此类攻击。同时，建议采用身份验证和授权机制，确保文件上传功能的安全性。