《電子技術應用》
您所在的位置:首頁 > 通信與網絡 > 業(yè)界動態(tài) > CNCERT:關于致遠OA系統(tǒng)存在文件上傳漏洞的安全公告

CNCERT:關于致遠OA系統(tǒng)存在文件上傳漏洞的安全公告

2021-01-12
來源:互聯(lián)網安全內參

  安全公告編號:CNTA-2021-0002

  2021年1月8日,國家信息安全漏洞共享平臺(CNVD)收錄了致遠OA系統(tǒng)文件上傳漏洞(CNVD-2021-01627)。攻擊者利用該漏洞,可在未授權的情況下上傳惡意文件,獲取目標服務器權限。目前,漏洞細節(jié)已公開,廠商已發(fā)布版本補丁修復。

  一、漏洞情況分析

  致遠OA是由北京致遠互聯(lián)軟件股份有限公司(以下簡稱致遠公司)開發(fā)的一款協(xié)同管理軟件,構建了面向中大型、集團組織的數(shù)字化協(xié)同運營平臺。該系統(tǒng)基于組織管理的基礎理論設計,支持大型組織的發(fā)展和變化,解決了組織結構、業(yè)務重組、組織流程再造等結構治理相對應的問題,滿足集團戰(zhàn)略管控、營運管控和財務管控的戰(zhàn)略協(xié)同行為和垂直業(yè)務管控的要求。

  近日,有安全人員披露了致遠OA系統(tǒng)的高危漏洞。未經身份驗證的攻擊者利用該漏洞,可通過精心構造惡意腳本文件,使用POST方法向目標服務器上傳該文件,上傳后即可通過遠程執(zhí)行代碼,實現(xiàn)網站后門的植入,進而控制目標服務器。目前,漏洞細節(jié)已公開,廠商已發(fā)布版本補丁修復。

  CNVD對該漏洞的綜合評級為“高?!?。

  二、漏洞影響范圍

  漏洞影響的產品版本包括:

  致遠 OA V8.0

  致遠 OA V7.1、V7.1SP1

  致遠 OA V7.0、V7.0SP1、V7.0SP2、V7.0SP3

  致遠 OA V6.0、V6.1SP1、V6.1SP2

  致遠 OA V5.x

  三、漏洞處置建議

  目前,致遠OA官方已發(fā)布補丁完成漏洞修復,CNVD平臺建議用戶立即通過官方網站安裝最新補?。?/p>

  http://service.seeyon.com/patchtools/tp.html#/patchList?type=%E5%AE%89%E5%85%A8%E8%A1%A5%E4%B8%81&id=1

  建議使用致遠OA系統(tǒng)構建網站的信息系統(tǒng)運營者進行自查,發(fā)現(xiàn)存在漏洞后,及時升級或聯(lián)系致遠公司。

  感謝遠江盛邦(北京)網絡安全科技股份有限公司、北京知道創(chuàng)宇信息技術股份有限公司(404實驗室)為本報告提供的技術支持。

 


本站內容除特別聲明的原創(chuàng)文章之外,轉載內容只為傳遞更多信息,并不代表本網站贊同其觀點。轉載的所有的文章、圖片、音/視頻文件等資料的版權歸版權所有權人所有。本站采用的非本站原創(chuàng)文章及圖片等內容無法一一聯(lián)系確認版權者。如涉及作品內容、版權和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。