内容简介:1 漏洞描述致远OA-A8是一款协同管理软件,是面向中型、大型集团型组织的数字化协同运营平台。近日,互联网爆出致远OA-A8存在远程命令执行漏洞。该系统某处在无需登录情况下可直接上传任意文件,攻击者一旦上传精心构造的后门文件即可Getshell,获得目标服务器的权限。上传木马文件位于www.xxx.com/seeyon/目录下,可排查该目录下是否有异常文件,同时可排查日志中是否有/seeyon/htmlofficeservlet请求成功。该漏洞危害程度为
1 漏洞描述
致远OA-A8是一款协同管理软件,是面向中型、大型集团型组织的数字化协同运营平台。
近日,互联网爆出致远OA-A8存在远程命令执行漏洞。该系统某处在无需登录情况下可直接上传任意文件,攻击者一旦上传精心构造的后门文件即可Getshell,获得目标服务器的权限。上传木马文件位于www.xxx.com/seeyon/目录下,可排查该目录下是否有异常文件,同时可排查日志中是否有/seeyon/htmlofficeservlet请求成功。该漏洞危害程度为 高危(High) 。目前,针对该漏洞的PoC已经公开。
2 影响范围
受影响版本:
A8+V7.0 SP3
A8+V6.1 SP2
A8+V6.1 SP1
3 漏洞复现
经过应急响应团队确认,此漏洞真实存在:
4 修复建议
1) 官方补丁:
建议用户尽快联系厂商,索要官方补丁程序。
厂商官网:
http://www.seeyon.com/info/company.html
2)临时缓解措施:
配置URL访问控制策略
部署于公网的致远A8+服务器,可通过防火墙配置规则禁止外网对“/seeyon/htmlofficeservlet”路径的访问
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:
- 漏洞预警 | Adobe ColdFusion远程命令执行漏洞预警(CVE-2018-15961)
- 漏洞预警 | ThinkPHP5远程命令执行漏洞
- Influxdb 认证绕过漏洞预警
- 漏洞预警 | MetInfo最新版本爆出SQL注入漏洞
- 【漏洞预警】Coremail邮件系统配置文件信息泄露漏洞
- 【漏洞预警】Joomla!3.7.0 Core SQL注入漏洞
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
生态战略:设计未来企业新模式
周文艺 / 机械工业出版社 / 2017-3 / 49.00
思想影响战略,战略决定组织。在充满高度不确定性的今天,企业要生存和发展,必须不断进行组织变革与进化,跨越不连续性的鸿沟。本书分析了大量互联网生态型企业的案例,从生态思维进化、生态战略构建和生态组织变革三个角度出发,全面阐述了企业的进化之路。 本书认为,生态是企业进化的核心思想,企业须重新定义增长模式,从封闭的企业链转向开放的价值网,不断创新文化、技术和连接,培育新物种,实现企业从技术生态位到......一起来看看 《生态战略:设计未来企业新模式》 这本书的介绍吧!
