钉钉远程代码执行漏洞

组件介绍

钉钉（DingTalk）是阿里巴巴集团专为中国企业打造的免费沟通和协同的多端平台   ，提供PC版，Web版，Mac版和手机版，支持手机和电脑间文件互传。  钉钉因中国企业而生，帮助中国企业通过系统化的解决方案（微应用），全方位提升中国企业沟通和协同效率。

漏洞描述

2022年2月16日， 深信服安全团队监测到一则钉钉组件存在远程代码执行漏洞的信息，漏洞编号：无，漏洞威胁等级：高危。

该漏洞是由于钉钉浏览器解析引擎出现安全问题，攻击者可利用该漏洞在未授权的情况下，构造恶意数据执行远程代码执行攻击，最终获取服务器最高权限。

影响范围

目前受影响的钉钉版本：

钉钉 <= 6.3.5

如何检测组件系统版本

单击头像->关于钉钉->检测是否有最新版本

官方修复建议

当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。链接如下：

https://page.dingtalk.com/wow/z/dingtalk/default/dddownload-index?from=zebra:offline

打补丁/升级方法:

下载并安装最新版钉钉即可。