漏洞说明

根据国家网络安全职能部门通报，杭州正方软件股份有限公司研发的“正方教学管理信息服务平台”存在任意文件读取漏洞，该服务平台在高校中广泛应用，存在较大安全风险，初步已发现多所省内高校疑似受此漏洞影响。

漏洞描述

正方软件股份有限公司教学管理信息服务平台使用帆软报表组件 ReportServer 存在任意文件读取漏洞，攻击者可通过该漏洞获取服务器上敏感文件内容，存在学生个人信息泄露隐患。 

漏洞编号 

无

影响范围

所有版本

漏洞危害 

高危

安全建议 

1.联系正方软件官方进行修复；

2.如非必要，禁止公网访问该系统。

自查整改

为确保重要网络和数据安全，请各单位做好自查工作，迅速组织排查该系统在本单位的使用情况，及时堵塞漏洞，切实做好网络安全防护。根据自查情况，凡使用该平台的单位，请于 4 月 18 日 12 点前通过邮箱提交整改报告，应说明该平台定级情况及排查整改情况，并上传加盖单位公章的整改材料扫描件，邮箱： hercert@ha.edu.cn。

河南省教育信息安全监测中心- 关于正方教学管理信息服务平台存在任意文件读取漏洞的情况通报.pdf