漏洞通告|契约锁电子签章系统存在远程代码执行漏洞

2025-07-30

漏洞概况

近日，监测到契约锁存在任意文件写入漏洞，此前契约锁曾针对该漏洞发布过相关补丁，本次漏洞为补丁绕过，攻击者结合部分版本白名单路由宽松、框架特性以及补丁校验逻辑缺陷可通过zipSlip攻击手法实现未授权任意文件写入，在实战场景下可能通过覆盖相关安全热补丁实现远程代码执行。

契约锁为组织制作受国家法律保护的电子公章、电子合同章、电子法人章和电子个人私章，提供可信数字身份、电子签章、印章管控、电子档案于一体的数字化可信基础解决方案。

该产品主要使用客户行业分布广泛，漏洞危害性高，建议客户尽快做好自查及防护。已复现此漏洞。

漏洞信息

漏洞标题	契约锁电子签章系统执行漏洞
漏洞处置等级	高
漏洞类型	远程代码执行
漏洞CVE/CNVD/CNNVD编号	未分配
CVSS3.1评分	9.8
漏洞等级	严重
访问途径	网络
攻击复杂度	低
所需权限	无
影响范围	不变
机密性/完整性/可用性影响	高
POC情况	已发现
EXP情况	已发现
在野利用	未发现
研究情况	已复现

漏洞影响范围

影响产品

契约锁

影响版本

契约锁4.3.8-5.x.x且补丁版本<2.1.8

契约锁4.0.x-4.3.7 且补丁版本<1.3.8

安全版本

契约锁4.3.8-5.x.x 补丁版本 2.1.8

契约锁4.0.x-4.3.7 补丁版本 1.3.8

修复方案

官方修复方案

已发布漏洞公告，请尽快前往下载补丁进行更新：

https://www.qiyuesuo.com/more/security/servicepack

海域云产品支持

海域云威胁分析溯源与安全感知平台支持漏洞扫描服务，在理解客户实际需求的情况下，制定符合企业规模的全面漏洞扫描检测方案。同时海域云安全专家会为您提供专业的漏洞修复建议和指导服务，有效地降低企业资产安全风险。

- END -

免费检测-海域云网站漏洞扫描1次

为更好地向企业普及信息安全意识，海域云发起企业网站系统漏洞扫描和信息安全评估活动。

一、检测内容

通过专业扫描技术，对企业的对外开放应用接口、网络端口、证书组件等进行全面检测。

检测内容：主动排查系统中存在的安全漏洞，包括但不限于SQL注入、跨站脚本（XSS）、弱密码配置、未修复的软件漏洞等。

成果交付：检测完成后，我们将为您提供一份详细的《企业信息安全检测报告》，助力企业信息安全管理决策。

二、服务流程

授权与预约：在获得您的明确授权后，我们将根据您的需求，安排对指定网站的网络安全检测。

检测实施：检测过程高效快捷，预计在20分钟内完成。

报告生成：检测完成后，专业技术人员将协助进行数据分析，并在三个工作日内生成安全评估报告。

三、服务说明

数据安全保障：检测过程占用资源小，不会影响您的系统正常访问，也不会读取您的业务数据，确保信息安全。

如果您所在企业曾遭受攻击，或当前有其他紧急工作需求，请及时告知我们，我们将优先为您安排检测。

四、报名方式：

扫描下方二维码，发送信息“漏洞扫描活动”即可

扫码在线咨询

↓↓↓

加入-海域云漏洞情报交流群

海域云信息安全中心提供第一手漏洞情报信息，高效助力企业漏洞运营：

提供高价值漏洞情报，具备及时、准确、全面和可操作性，帮助企业高效应对漏洞应急与日常运营难题；
可实现对高威胁漏洞提前掌握，以最快的效率解决信息差问题，缩短漏洞运营MTTR；
提供漏洞完整的技术细节，更贴近用户漏洞处置的落地；
将漏洞与威胁事件库、APT组织和黑产团伙攻击大数据、网络空间测绘等结合，对漏洞的实际风险进行持续动态更新。

扫码入群备注“情报入群”

每周获取一手威胁情报

↓↓↓

上一篇 | 党建联学共庆八一携手奋进初心如磐下一篇 | 精鹰领航·赢战未来丨海域科技集团2025管理层半年度会议圆满举行

全球域名服务

品牌保护服务

域名回购

域名保护解决方案

品牌保护解决方案

漏洞通告|契约锁电子签章系统存在远程代码执行漏洞

相关推荐

欢迎来电咨询