Desktop Central 不易受 RCE（CVE 2020-9484）影响

是 Desktop Central 易受此 CVE 影响吗？

否, Desktop Central 不易受 CVE-2020-9484 远程代码执行（RCE） 漏洞影响。请完整阅读文档了解详细信息。

问题是什么？

远程代码执行（RCE） 漏洞 （CVE-2020-9484） 于 Apache Tomcat （版本低于 8.5.55）中，该漏洞源自持久化会话管理器，允许未认证攻击者执行任意代码。

要利用此漏洞，攻击者需要满足以下所有条件：

1. 攻击者能够控制服务器上文件的名称及其内容；且
2. 服务器配置为使用 PersistenceManager 并且 FileStore; 且
3. 被配置为 PersistenceManager 使用 sessionAttributeValueClassNameFilter="null" 或一个足够宽松的过滤器来反序列化攻击者提供的不可信对象；且
4. 攻击者知道从 FileStore 使用的存储位置到攻击者控制的文件的相对文件路径；然后，攻击者通过一个特制请求，利用反序列化控制的文件触发远程代码执行。

为什么 Desktop Central 不易受此 CVE 影响？

如前所述， CVE-2020-9484 不会影响 Desktop Central 因为 PersistenceManager 未被使用。此外， Desktop Central 不易受 本地文件包含（LFI） 攻击。

未来升级计划

虽然 Desktop Central 不易受此 CVE 影响，我们将在常规第三方组件升级周期中升级到最新版本。 Apache Tomcat 版本。