金蝶天燕应用服务器IIOP远程代码执行漏洞风险通告

赛博昆仑CERT 10月27日 18:31

../../../zaker_core/zaker_tpl_static/wap/tpl_guoji1.html

金蝶Apusic应用服务器（AAS）V10.0企业版SP1-SP8存在IIOP远程代码执行漏洞。攻击者无需认证，即可通过构造恶意反序列化数据，在服务器上执行任意代码，进而控制服务器。赛博昆仑CERT已成功复现该漏洞，并指出该漏洞等级为高危（评分为9.8），利用难度低。目前金蝶官方已发布安全补丁，建议受影响用户尽快安装更新。赛博昆仑提供技术支持和检测规则。

🚨 **高危漏洞警报：** 金蝶Apusic应用服务器V10.0企业版SP1-SP8存在IIOP远程代码执行漏洞。此漏洞允许未经身份验证的攻击者利用IIOP协议，通过发送特制的反序列化数据，在服务器上执行任意代码，从而完全控制受影响的服务器。

⚙️ **技术细节与影响：** 该漏洞利用了Apusic应用服务器V10.0部分功能中IIOP协议的处理缺陷。攻击者无需任何权限即可发起攻击，漏洞利用难度低，且已被赛博昆仑CERT成功复现，评级为高危（9.8分），表明其潜在威胁极大。

🛡️ **即时防护措施：** 官方已发布针对此漏洞的安全补丁。强烈建议所有使用Apusic应用服务器V10.0企业版SP1-SP8的用户，立即访问官方网站下载并安装最新的安全补丁，以消除潜在的安全风险。

🤝 **专业技术支持：** 赛博昆仑CERT提供轻量级检测规则和热补丁等定制化服务，协助用户进行漏洞检测与修复。付费客户可申请试用，获取更详细的技术信息，并获得满足特定需求的适配服务。

2025-04-25 22:38 广东

-赛博昆仑漏洞安全风险通告-

金蝶天燕应用服务器IIOP远程代码执行漏洞风险通告

漏洞描述

金蝶Apusic应用服务器（Apusic Application Server，AAS）是一款企业级中间件，全面支持JakartaEE规范，提供Web、EJB、WebService容器，适配国产软硬件，用于支撑企业级应用运行。

赛博昆仑CERT监测到金蝶Apusic应用服务器IIOP远程代码执行漏洞的漏洞情报，Apusic V10.0应用服务器部分功能时使用了IIOP协议，未经过身份认证的攻击者可以通过构造恶意的反序列化数据在服务器上执行任意代码，从而进一步控制服务器。

漏洞名称	金蝶天燕应用服务器IIOP远程代码执行漏洞
漏洞公开编号	未知
昆仑漏洞库编号	CYKL-2025-014655
漏洞类型	代码执行	公开时间	2025-04-01
漏洞等级	高危	评分	9.8
漏洞所需权限	无	漏洞利用难度	低
PoC状态	未知	EXP状态	未知
漏洞细节	未知	在野利用	未知