用友畅捷通T+是一款基于互联网的新型企业管理软件，功能模块包括：财务管理、采购管理、库存管理等。主要针对中小型工贸和商贸企业的财务业务一体化应用，融入了社交化、移动化、物联网、电子商务、互联网信息订阅等元素。

漏洞详情

8月30日，用友畅捷通官方发布安全更新补丁，修复了用友畅捷通T+任意文件上传漏洞，该漏洞允许未经身份认证的远程攻击者通过构造特定请求，将恶意文件上传至目标系统，从而执行任意代码，控制服务器。漏洞源于Upload.aspx文件存在认证缺陷，向该文件传递preload参数可直接绕过系统权限认证，实现任意文件上传，从而控制服务器。

影响范围

畅捷通 T+ <= v17.0

修复建议

1、针对已感染的主机：
a) 查看安装目录（Chanjet\TPlusStd\DBServer\data）下的zip备份及mdf数据库文件是否被加密，若未被加密，可重新部署建账，并恢复备份或SQL数据库文件。
b) 若zip备份及数据库文件均被加密，可查找是否存在其他备份文件，或咨询第三方专业数据恢复公司，尝试对加密SQL数据库文件进行修复。
2、针对未感染的主机：
a) 检查是否开启了数据自动备份，并同时将备份文件通过移动硬盘、NAS、网盘等多种方式进行储存。
b) 目前官方已更新补丁，下载链接：
https://www.chanjetvip.com/product/goods/goods-detail?id=53aaa40295d458e44f5d3ce5

参考链接

https://www.chanjet.com/news/123914.html?a=pzh&c=pzh&infrom=bdpz