产品介绍 金蝶Apusic是一款企业级应用服务器，支持Java EE技术，适用于各种商业环境。 漏洞概述 由于金蝶Apusic应用服务器权限验证不当，使用较低JDK版本，导致攻击者可以向loadTree接口执行JNDI注入，远程加载恶意类，造成远程代码执行。 资产测绘 app.name=“Apusic 金蝶天燕 Server” 漏洞复现 测试POC: POST /appmonit

0x01 产品简介 金蝶Apusic应用服务器是一款企业级应用服务器，支持Java EE技术，适用于各种商业环境。 0x02 漏洞概述 由于金蝶Apusic应用服务器权限验证不当，导致攻击者可以向loadTree接口执行JNDI注入，造成远程代码执行漏洞。利用该漏洞需低版本JDK。（漏洞比较旧，8月份补丁已出，金蝶EAS也存在类似漏洞，只是路径不一样） 0x03 影响范围 影响版本 金

0x01 产品简介 金蝶Apusic应用服务器是一款企业级应用服务器，支持Java EE技术，适用于各种商业环境。 0x02 漏洞概述 由于金蝶Apusic应用服务器权限验证不当，导致攻击者可以向loadTree接口执行JNDI注入，造成远程代码执行漏洞。利用该漏洞需低版本JDK。（漏洞比较旧，8月份补丁已出，金蝶EAS也存在类似漏洞，只是路径不一样） 0x03 影响范围 影响版本 金