山东省教育云服务平台登录入口：http://www.sdei.edu.cn( 三 )

十、目录遍历漏洞
共发现3次。目录遍历是由于Web服务器或者Web应用程序对用户输入的文件名称的安全性验证不足而导致的一种安全漏洞，使得攻击者通过利用一些特殊字符就可以绕过服务器的安全限制，访问任意的文件（可以是Web根目录以外的文件），甚至执行系统命令。涉及单位：山东理工大学、中国海洋大学、潍坊科技学院。
十一、未授权访问漏洞
共发现3次。未授权访问指需要安全配置或权限认证的授权页面可以直接访问，导致重要权限可被越权操作、重要信息泄露。涉及单位：滨州医学院、青岛科技大学、济宁市教育局。
十二、 XXE漏洞
共发现1次。XXE漏洞全称XML External Entity Injection，即XML外部实体注入漏洞，XXE漏洞发生在应用程序解析XML输入时，没有禁止外部实体的加载，导致可加载恶意外部文件，造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起攻击等危害。XXE漏洞触发的点往往是可以上传XML文件的位置，没有对上传的XML文件进行过滤，导致可上传恶意XML文件。涉及单位：山东劳动职业技术学院。
十三、短信轰炸漏洞
共发现1次。短信轰炸指对发送信息功能调用未做任何限制可针对某用户短时间内发送大量垃圾短信，造成短信轰炸攻击；对于企业，每发一条短信，需向运营商交付一些费用，尽管比个人用户费用低，但是一旦被恶意利用大量发送后，可造成较大的直接经济损失。涉及单位：山东大学。
十四、永恒之蓝漏洞
共发现1次。2021年4月14日晚，黑客团体Shadow Brokers（影子经纪人）公布一大批网络攻击工具，其中包含“永恒之蓝”工具。“永恒之蓝”利用Windows系统的SMB漏洞可以获取系统最高权限。涉及单位：济宁医学院。
【山东省教育云服务平台登录入口：http://www.sdei.edu.cn】请以上安全事件涉及单位确认已修复安全漏洞（具体信息见附件），切实消除安全事件影响。对未及时处理安全事件的单位我厅将再次通报督办或约谈。各单位务必加强组织领导，明确主体责任，增强安全防范意识和防护能力，提高发现问题和处置安全事件的能力。