契约锁电子签章系统远程代码执行漏洞(QVD-2025-23408)安全风险通告

契约锁是一个电子签章及印章管控平台，提供的电子文件具有与纸质文件一样的法律效力。

漏洞描述

近日，奇安信CERT监测到官方修复契约锁电子签章系统远程代码执行漏洞(QVD-2025-23408)，该漏洞源于管理控制台存在未授权JDBC注入漏洞，攻击者通过构造恶意数据库连接参数，在dbtest接口触发远程代码执行。目前该漏洞技术细节与PoC已在互联网上公开，鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

影响范围

影响版本

4.3.8 <= 契约锁 <= 5.3.* && 补丁版本 < 2.1.5>>>>

其他受影响组件

无

复现情况

目前，奇安信威胁情报中心安全研究员已成功复现契约锁电子签章系统远程代码执行漏洞(QVD-2025-23408)，截图如下：

处置建议

安全更新

契约锁官方已发布安全补丁，请及时更新安全补丁。官方补丁下载地址：https://www.qiyuesuo.com/more/security/servicepack>>>>

产品解决方案

奇安信网站应用安全云防护系统已更新防护特征库

奇安信网神网站应用安全云防护系统已全局更新所有云端防护节点的防护规则，支持对契约锁电子签章系统远程代码执行漏洞(QVD-2025-23408)的防护。

奇安信网神网络数据传感器系统产品检测方案

奇安信网神网络数据传感器（NDS5000/7000/9000系列）产品，已具备该漏洞的检测能力。规则ID为：8123 ，建议用户尽快升级检测规则库至2506121730以上；

奇安信天眼检测方案

奇安信天眼新一代安全感知系统已经能够有效检测针对该漏洞的攻击，请将规则版本升级到3.0.0612.14740或以上版本。规则ID及规则名称：0x1002230F，契约锁电子签章系统远程代码执行漏洞(QVD-2025-23408)。奇安信天眼流量探针规则升级方法：系统配置->设备升级->规则升级，选择“网络升级”或“本地升级”。

参考资料

[1]https://www.qiyuesuo.com/more/security/servicepack

时间线

2025年06月12日，奇安信 CERT发布安全风险通告。

漏洞情报服务

奇安信ALPHA威胁分析平台已支持漏洞情报订阅服务：

[超站]友情链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
关注数据与安全，洞悉企业级服务市场：https://www.ijiandao.com/