发布时间:2021-01-11 18:25:04,来源:北京天融信科技有限公司、上海观安信息技术股份有限公、北京祥云网安科技有限责任公司
近日,监测发现致远OA系统存在多个文件上传漏洞,攻击者通过构造恶意请求,可在无需登录的情况下上传恶意脚本文件,从而控制服务器。目前,致远OA官方已发布该漏洞修复补丁,建议受影响用户及时下载并更新修复补丁,并做好资产自查以及预防工作,以免遭受黑客攻击。
高危
三、漏洞详情
致远OA是一款基于互联网高效协作的协同管理软件,在各企业机构中被广泛使用。
由于致远OA旧版本某些接口存在未授权访问,以及未能充分过滤部分函数,攻击者通过构造恶意请求,可在无需登录的情况下上传恶意脚本文件,从而控制服务器。
四、影响范围
致远 OA V8.0
致远 OA V7.1 、 V7.1SP1
致远 OA V7.0 、 V7.0SP1 、 V7.0SP2 、 V7.0SP3
致远 OA V6.0 、 V6.1SP1 、 V6.1SP2
致远 OA V5.x
五、处置建议
致远OA官方已经发布相关安全补丁,建议用户下载并更新,下载地址:http://service.seeyon.com/patchtools/tp.html#/patchList?type=%E5%AE%89%E5%85%A8%E8%A1%A5%E4%B8%81&id=1
六、参考链接
1) http://service.seeyon.com/patchtools/tp.html#/patchList?type=%E5%AE%89%E5%85%A8%E8%A1%A5%E4%B8%81&id=1