Numara MRchat.pl MRABLoad2.pl远程命令执行漏洞

关于Numara FootPrints系统的安全影响通告

针对系统：Numara FootPrints 8.0，Numara FootPrints 7.5a1，Numara FootPrints 7.5a

非受影响系统：Numara FootPrints 8.1

概述：

Numara FootPrints是一款广泛使用的资产管理系统，其安全性一直备受关注。最近发现，该系统的多个脚本实现中存在输入验证漏洞，这一漏洞可能被远程攻击者利用，从而实现对服务器的控制。

细节分析：

特定于Numara FootPrints的/MRcgi/MRchat.pl文件，存在一个输入验证问题，涉及到transcriptFile参数。同样的，/MRcgi/MRABLoad2.pl文件中的LOADFILE参数也存在类似的漏洞。这两个参数在处理用户输入时，未进行适当的验证，便被直接用于open()函数调用。这意味着攻击者可以通过输入包含“|”字符的恶意代码，尝试在系统中执行任意命令。这种漏洞为攻击者打开了大门，可能造成数据泄露、系统瘫痪等严重后果。

解决方案：

针对这一问题，厂商已经发布了升级补丁以增强系统的安全性。我们强烈建议用户前往官方支持页面下载并安装的补丁程序。以下是补丁下载链接：

[补丁下载链接：

请注意，安装补丁后，务必进行系统测试以确保一切正常运作。建议用户采取其他安全措施，如定期备份数据、限制外部访问等，以增强系统的整体安全性。

结尾：

我们重视每一位用户的安全，强烈建议所有使用Numara FootPrints系统的用户尽快采取上述措施。如有疑问或需进一步帮助，请随时联系我们的支持团队。我们将竭诚为您提供帮助，以确保您的系统安全无虞。