kaiyun官方注册
您所在的位置: 首页> 通信与网络> 业界动态> CNCERT:关于致远OA系统存在文件上传漏洞的安全公告

CNCERT:关于致远OA系统存在文件上传漏洞的安全公告

2021-01-12
来源:互联网安全内参

  安全公告编号:CNTA-2021-0002

  2021年1月8日,国家信息安全漏洞共享平台(CNVD)收录了致远OA系统文件上传漏洞(CNVD-2021-01627)。攻击者利用该漏洞,可在未授权的情况下上传恶意文件,获取目标服务器权限。目前,漏洞细节已公开,厂商已发布版本补丁修复。

  一、漏洞情况分析

  致远OA是由北京致远互联软件股份有限公司(以下简称致远公司)开发的一款协同管理软件,构建了面向中大型、集团组织的数字化协同运营平台。该系统基于组织管理的基础理论设计,支持大型组织的发展和变化,解决了组织结构、业务重组、组织流程再造等结构治理相对应的问题,满足集团战略管控、营运管控和财务管控的战略协同行为和垂直业务管控的要求。

  近日,有安全人员披露了致远OA系统的高危漏洞。未经身份验证的攻击者利用该漏洞,可通过精心构造恶意脚本文件,使用POST方法向目标服务器上传该文件,上传后即可通过远程执行代码,实现网站后门的植入,进而控制目标服务器。目前,漏洞细节已公开,厂商已发布版本补丁修复。

  CNVD对该漏洞的综合评级为“高危”。

  二、漏洞影响范围

  漏洞影响的产品版本包括:

  致远 OA V8.0

  致远 OA V7.1、V7.1SP1

  致远 OA V7.0、V7.0SP1、V7.0SP2、V7.0SP3

  致远 OA V6.0、V6.1SP1、V6.1SP2

  致远 OA V5.x

  三、漏洞处置建议

  目前,致远OA官方已发布补丁完成漏洞修复,CNVD平台建议用户立即通过官方网站安装最新补丁:

  http://service.seeyon.com/patchtools/tp.html#/patchList?type=%E5%AE%89%E5%85%A8%E8%A1%A5%E4%B8%81&id=1

  建议使用致远OA系统构建网站的信息系统运营者进行自查,发现存在漏洞后,及时升级或联系致远公司。

  感谢远江盛邦(北京)网络安全科技股份有限公司、北京知道创宇信息技术股份有限公司(404实验室)为本报告提供的技术支持。


本站内容除特别声明的原创文章之外,转载内容只为传递更多信息,并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件或电话通知我们,以便迅速采取适当措施,避免给双方造成不必要的经济损失。联系电话:010-82306116;邮箱:aet@chinaaet.com。
Baidu
map