CNNVD 关于致远OA文件上传漏洞情况的通报
2021-01-27 10:55:17 Author: www.freebuf.com(查看原文) 阅读量:151 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

26日,国家信息安全漏洞库(CNNVD)发布

关于致远OA文件上传漏洞情况的通报华云安作为CNNVD技术支撑单位为此漏洞通报提供支持。

近日,国家信息安全漏洞库新增中国用友致远软件技术有限公司的致远OA文件上传漏洞1个(CNNVD-202101-1460)。成功利用漏洞的攻击者可以在未授权的情况下实现恶意文件上传,从而控制服务器。致远OA V8.0、V8.0SP1、V7.1、V7.1SP1、V7.0、V7.0SP1、V7.0SP2、V7.0SP3、V6.0、V6.1SP1、V6.1SP2版本均受漏洞影响。目前,致远官方已发布版本更新修复了漏洞,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。

一、漏洞介绍

致远OA是中国用友致远软件技术有限公司下属的全资子公司北京致远互联软件股份有限公司的一套办公自动化软件。

该漏洞源于致远OA部分版本ajax接口存在未授权访问,攻击者通过构造恶意请求,可在无需登录的情况下上传恶意文件,从而控制目标服务器。

二、危害影响

成功利用漏洞的攻击者可以在未授权的情况下实现恶意文件上传,从而控制服务器。

三、修复建议

目前,致远官方已发布版本更新修复了漏洞,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。官方链接如下:

http://service.seeyon.com/patchtools/tp.html#/patchList?type=%E5%AE%89%E5%85%A8%E8%A1%A5%E4%B8%81&id=1


文章来源: https://www.freebuf.com/news/262069.html
如有侵权请联系:admin#unsafe.sh