[漏洞预警] 致远 OA ajaxAction formulaManager 文件上传漏洞

地球胖头鱼 2021-01-11
Web安全 发布于 2021-01-11 15:12:34 阅读 302 评论 0

漏洞描述

致远OA是一套办公协同软件。近日,阿里云应急响应中心监控到致远OA ajaxAction 文件上传漏洞利用代码披露。由于致远OA旧版本某些ajax接口存在未授权访问,攻击者通过构造恶意请求,可在无需登录的情况下上传恶意脚本文件,从而控制服务器。致远OA官方已针对该漏洞提供补丁,该漏洞利用代码已在互联网上公开流传。

漏洞证明

利用致远OA ajaxAction 文件上传漏洞:

访问上传的恶意脚本:

影响版本

  • 致远OA V8.0、V8.0SP1

  • 致远OA V7.1、V7.1SP1

安全版本

致远OA 各系列最新版本

安全建议

致远OA为商业软件,建议联系官方以获取最新相关补丁,以及升级至最新版本。

补丁地址

http://service.seeyon.com/patchtools/tp.html#/patchList?type=%E5%AE%89%E5%85%A8%E8%A1%A5%E4%B8%81&id=1
本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!
地球胖头鱼
未填写
  • 作者发布文章187
  • 作者收获粉丝7
  • 作者收到点赞0
  • 所有文章被收藏了1
  • 博客总访问量排行第2
  • 博客总访问量3.3 万(每日更新)
查看所有博文