IP-guard Web系统远程命令执行漏洞说明

一、漏洞说明

近期收到反馈，IP-guard Web服务器存在远程命令执行漏洞（RCE），经过分析，确认是因为Web系统的申请审批功能使用了开源插件 flexpaper 实现文件在线预览功能，此插件存在远程代码执行漏洞。

攻击者可利用 flexpaper插件漏洞，在文件预览参数中拼接其它恶意命令，获取服务器控制权限，远程执行不法操作。对于暴露在公网环境的web系统，更容易受到此漏洞攻击。

二、影响范围