安全公告編號(hào):CNTA-2021-0002
2021年1月8日,,國家信息安全漏洞共享平臺(tái)(CNVD)收錄了致遠(yuǎn)OA系統(tǒng)文件上傳漏洞(CNVD-2021-01627),。攻擊者利用該漏洞,,可在未授權(quán)的情況下上傳惡意文件,獲取目標(biāo)服務(wù)器權(quán)限。目前,,漏洞細(xì)節(jié)已公開,,廠商已發(fā)布版本補(bǔ)丁修復(fù)。
一,、漏洞情況分析
致遠(yuǎn)OA是由北京致遠(yuǎn)互聯(lián)軟件股份有限公司(以下簡(jiǎn)稱致遠(yuǎn)公司)開發(fā)的一款協(xié)同管理軟件,,構(gòu)建了面向中大型、集團(tuán)組織的數(shù)字化協(xié)同運(yùn)營平臺(tái),。該系統(tǒng)基于組織管理的基礎(chǔ)理論設(shè)計(jì),,支持大型組織的發(fā)展和變化,解決了組織結(jié)構(gòu),、業(yè)務(wù)重組,、組織流程再造等結(jié)構(gòu)治理相對(duì)應(yīng)的問題,滿足集團(tuán)戰(zhàn)略管控,、營運(yùn)管控和財(cái)務(wù)管控的戰(zhàn)略協(xié)同行為和垂直業(yè)務(wù)管控的要求。
近日,,有安全人員披露了致遠(yuǎn)OA系統(tǒng)的高危漏洞,。未經(jīng)身份驗(yàn)證的攻擊者利用該漏洞,可通過精心構(gòu)造惡意腳本文件,,使用POST方法向目標(biāo)服務(wù)器上傳該文件,,上傳后即可通過遠(yuǎn)程執(zhí)行代碼,實(shí)現(xiàn)網(wǎng)站后門的植入,,進(jìn)而控制目標(biāo)服務(wù)器,。目前,漏洞細(xì)節(jié)已公開,,廠商已發(fā)布版本補(bǔ)丁修復(fù),。
CNVD對(duì)該漏洞的綜合評(píng)級(jí)為“高危”,。
二,、漏洞影響范圍
漏洞影響的產(chǎn)品版本包括:
致遠(yuǎn) OA V8.0
致遠(yuǎn) OA V7.1、V7.1SP1
致遠(yuǎn) OA V7.0,、V7.0SP1,、V7.0SP2、V7.0SP3
致遠(yuǎn) OA V6.0,、V6.1SP1,、V6.1SP2
致遠(yuǎn) OA V5.x
三、漏洞處置建議
目前,,致遠(yuǎn)OA官方已發(fā)布補(bǔ)丁完成漏洞修復(fù),,CNVD平臺(tái)建議用戶立即通過官方網(wǎng)站安裝最新補(bǔ)丁:
http://service.seeyon.com/patchtools/tp.html#/patchList?type=%E5%AE%89%E5%85%A8%E8%A1%A5%E4%B8%81&id=1
建議使用致遠(yuǎn)OA系統(tǒng)構(gòu)建網(wǎng)站的信息系統(tǒng)運(yùn)營者進(jìn)行自查,發(fā)現(xiàn)存在漏洞后,,及時(shí)升級(jí)或聯(lián)系致遠(yuǎn)公司,。
感謝遠(yuǎn)江盛邦(北京)網(wǎng)絡(luò)安全科技股份有限公司、北京知道創(chuàng)宇信息技術(shù)股份有限公司(404實(shí)驗(yàn)室)為本報(bào)告提供的技術(shù)支持,。