尊敬的用戶：

　　您好！感謝您一直以來對順景軟件的支持與信任。

　　為了提供更穩定、高效、安全的服務，我們計劃進行系統升級和優化。

　　在此我們向您發布系統升級通知:

　　安全更新內容：

　　1、 修復UploadInvtSpFile存在任意文件上傳漏洞

　　2、修復FileUpload存在任意文件上傳漏洞

　　修復方法：

　　一、漏洞描述

　　1.原系統存在未授權（匿名情況下可以上傳）文件上傳接口，未對上傳文件類型進行嚴格校驗

　　2.攻擊者可繞過限制上傳惡意文件（如.jsp、.php、.exe、.asp等）

　　3.可能導致服務器被植入木馬、數據泄露、系統癱瘓等風險

　　一、漏洞處理措施

　　1.接口層安全加固

[TokenSimpleAuthorize] // 路由級別權限驗證注解

攔截未攜帶有效Token的請求

驗證用戶身份與操作權限的匹配性

　　2.文件類型白名單控制

if (!WfAPI.UploadFileSafeCheck(rtn.extension))// .png、.jpg后綴限制

    WfAPI.AbortError("上傳文件服務器安全檢查未通過，不能上傳");

驗證文件真實類型與擴展名一致性

僅允許圖片、word、 pdf、excel、txt、CAD等業務相關文件類型

　　3. 特殊業務場景隔離（cgInvtSp/UploadInvtSpFile接口）

　　** 因為涉及重要安全更新，建議用戶及時升級服務器程序及WebAPI至2.0 Build（1.0.0.0.3.4）版本 **

　　安裝升級包下載地址：

　　升級操作指引：

　　1、系統升級程序為 雙擊運行；

　　第一步先點擊數據庫檢查，升級程序將會自動檢查與數據庫連接是否正常，如不正常將會在DBState提示連接失敗；

　　2、檢查數據成功后，在DBState則會顯示連接正常，勾選需要升級的數據庫，然后點擊升級數據庫，程序就會自動進行升級，完成后系統會提示數據庫腳本升級完成點擊確定后即可；

　　3、數據庫頁面升級完成后，還需要升級應用程序；第一步先點擊應用程序頁面（如下圖），第二步點擊更新程序，提示更新完成后，點擊確定，完成系統升級；

　　4、升級WebAPI,將安裝包內對應程序的WebAPI文件至系統安裝目錄下WfSoftErpWebAPI文件進行替換升級；

　　溫馨提示：網絡安全，不容小覷

　　1、檢查windows是否最新，更新Windows補丁包；

　　2、開啟Windows防火墻，不使用常用端囗80、3389、21等;

　　3、安裝殺毒軟件，定期全盤掃描;

　　4、把TTX軟件更新到最新版:

　　5、平臺賬號密碼使用復雜密碼，勾選安全測評中的密碼加密、密碼強度校驗等功能；

　　6、定期做好數據備份；