近日,国家信息安全漏洞共享平台(CNVD)通报了点可云 ERP V6 开源版本存在路径遍历、SQL 注入、权限提升三项高危安全漏洞。北京一秒互联科技有限公司作为一秒开源平台运营方、点可云开源项目的维护主体,对此高度重视,严格按照《网络产品安全漏洞管理规定》要求,第一时间启动安全应急响应预案,开展漏洞验证、影响评估与代码修复工作。目前三项漏洞均已完成彻底修复与多场景验证,现将相关处置情况正式说明如下:
一、漏洞基本情况与影响范围
本次通报的三项漏洞均存在于点可云 ERP V6 开源免费版本中,V7 社区版、V8 商业版及 SaaS 云版本因架构重构与权限体系升级,不受上述问题影响。漏洞整体情况如下:
路径遍历漏洞:存在于系统备份恢复模块,因文件名参数校验不严格,存在目录穿越风险,获取后台权限的攻击者可读取服务器敏感文件。
SQL 注入漏洞:存在于业务统计接口,因动态表名参数未做白名单限制,存在 SQL 注入风险,可能导致数据泄露。
权限提升漏洞:存在于用户管理接口,因用户类型参数未做权限校验,普通权限账号存在越权创建管理员账号的风险。
经全面核查,截至本公告发布,我们未收到任何用户因上述漏洞导致数据泄露、业务受损的实际反馈。
二、应急处置与漏洞修复完成情况
接到漏洞通报后,我们快速完成漏洞定位与影响评估,在 24 小时内完成三项漏洞的代码修复、回归测试与渗透验证,并同步更新官方开源仓库,全程符合国家漏洞管理规定的处置要求。具体修复措施如下:
路径遍历漏洞加固:重构备份恢复模块的文件处理逻辑,强制校验文件名合法性,新增目录白名单限制,确保所有文件操作严格限定在系统指定备份目录内,从根源上杜绝目录穿越风险。
SQL 注入漏洞修复:建立业务表名白名单映射机制,所有表名由服务端统一转换,不直接接收客户端传入的表名字段;同时关闭生产环境详细错误回显,收紧数据库运行账号权限,形成多层防护。
权限提升漏洞整改:在用户管理接口增加权限校验,仅超级管理员可调整用户角色类型;服务端强制过滤普通用户提交的权限类参数,彻底阻断越权创建管理员账号的路径。
除上述三项通报漏洞外,我们同步对 V6 版本全量代码开展了横向安全巡检,覆盖输入校验、权限控制、文件操作、SQL 查询四大类风险场景,同步修复了多处潜在低风险点,全面提升了版本安全基线。目前修复后的代码已同步至 Gitee 官方仓库。
三、用户升级与安全防护指引
为保障所有使用点可云 ERP V6 版本用户的业务与数据安全,我们在此发出如下操作指引:
请尽快访问官方仓库(https://gitee.com/yimiaoOpen/nodcloud)拉取最新代码,完成版本更新;无法全量更新的用户,可联系技术客服获取对应补丁文件。
请立即修改系统默认管理员账号密码,使用高强度口令;建议限制后台外网访问范围,配置 IP 白名单,关闭非必要对外端口。
建议部署 Web 应用防火墙(WAF)并开启日志审计功能,定期备份数据库与业务数据,提升整体防护能力。
建议检查数据库运行账号权限,避免使用高权限账号运行业务数据库,遵循最小权限原则。
如有技术疑问、补丁获取或升级协助需求,可通过官方客服微信(diycloud)或邮箱(meng@yimiaonet.com)联系我们,技术团队将提供全程免费支持。
四、后续安全体系建设规划
本次漏洞暴露出我们在开源版本全链路安全校验、权限边界管控环节的不足,我们在此向所有受影响的用户致以诚挚的歉意。未来我们将从以下维度全面强化安全能力建设:
建立常态化安全审计机制:每季度开展一次全量代码安全审计与渗透测试,定期引入第三方安全机构进行专项检测,从源头降低漏洞风险。
完善漏洞应急响应体系:设立 7×24 小时安全应急响应通道,严格按照国家规定及时完成漏洞信息报送,第一时间向用户同步风险提示与修复方案。
推动开源社区安全共建:设立漏洞贡献奖励机制,欢迎全球开发者与安全研究者向我们反馈问题,共同维护开源项目的安全生态。
强化版本发布安全流程:所有开源版本更新前,必须通过多轮安全检测与灰度验证,未经安全校验的代码不得发布至公开仓库。
开源之路,安全为基。一秒开源始终秉持开放、负责的态度运营每一个开源项目,也始终将用户的数据与业务安全放在首位。感谢国家信息安全漏洞共享平台的监督与提示,感谢安全研究者对开源项目的关注与贡献,我们将持续打磨产品安全能力,为所有用户提供更稳定、更可靠的企业级开源系统。
北京一秒互联科技有限公司
2026 年 6 月 26 日
