企业OA系统曝出远程代码执行漏洞！用户可实现任意文件上传

致远 OA A8 系统是由北京致远互联软件股份有限公司开发的一款协同管理软件，其近日被曝存在远程代码执行漏洞，且目前已有漏洞 poc 流出并被在野利用。

致远OA-A8是由北京致远互联软件股份有限公司（以下简称致远公司）开发的一款协同管理软件，构建了面向中大型、集团组织的数字化协同运营平台。致远OA-A8系统基于组织管理的基础理论设计，支持大型组织的发展和变化，解决了组织结构、业务重组、组织流程再造等结构治理相对应的问题，满足集团战略管控、营运管控和财务管控的战略协同行为和垂直业务管控的要求。

漏洞描述

该系统的漏洞点在于致远OA-A8系统的Servlet接口暴露，安全过滤处理措施不足，使得用户在无需认证的情况下实现任意文件上传。攻击者利用该漏洞，可在未授权的情况下，远程发送精心构造的网站后门文件，从而获取目标服务器权限，在目标服务器上执行任意代码。

CNVD对该漏洞的综合评级为“高危”。

影响范围

• 致远 A8-V5 协同管理软件 V6.1sp1

• 致远 A8+ 协同管理软件 V7.0、V7.0sp1、V7.0sp2、V7.0sp3

• 致远 A8+ 协同管理软件 V7.1

解决方案

目前致远公司已紧急发布补丁完成修复，受漏洞影响的用户可以联系致远官方获取补丁。（ http://support.seeyon.com ）

无法更新补丁的用户，作为临时解决方案，可考虑在不影响系统正常使用的情况下，限制  /seeyon/htmlofficeservlet 路径的访问。

OA系统安全

OA办公系统中流转着大量的数据。OA作为企业管理的 工具 正在发展成为一个庞大的信息中心。随着OA系统功能的完善与使用的日益深入，OA也正在承载着许多其他管理软件不具备的功能。也正因如此，安全性成为OA选型者需要先考虑的问题。那么如何保障OA系统的安全?

1. 数据是否加密

我们都知道OA办公系统中的数据是保存在数据库中的，但保存的数据究竟是明文保存还是密文保存呢?这就决定着数据的安全性。因为运行OA办公系统的服务器安全与OA本身程序的架构安全是无关的，当服务器被入侵后，如果数据库中的数据没有加密，就会全部泄漏。

所以，数据库加密是OA办公系统安全性考核的第一步。

2. 登陆安全性

账号安全是所有的管理系统的第一步，账号安全主要是为了防止暴力破解和猜解账号密码，一般厂商做得的好的会支持三种验证方式：验证码验证、多次登陆错误账号自动锁定、USBKEY软硬件结合验证，其实普通企业前两种方式即可满足需要，如果机密数据较多的，可以选择usbkey的验证方式，当然，现在的微信企业号的管理员设置好微信号的验证方式是为了方便使用，只满足移动端的访问，所以微信企业号的安全验证是安全级别较高的。

3. 开发语言本身的安全性

市面上现在还有ASP语言开发的OA办公系统，而且也有人买，并非说ASP语言不好，而是它的漏洞被知道的太多，开发商稍有放松，就会有不为人知的安全漏洞。

4. 接口安全

现在许多厂商都有开放接口供客户自己开发调用，甚至有的厂商把接口做成是不需要密文传输的，安全性可想而知。

来源：CNVD、长亭、搜狐

— ▼ —

:warning: 注意

2019 看雪安全开发者峰会门票正在热售中！

长按识别下方 二维码 ， 即可享受  2.5折  优惠！

﹀

﹀

﹀

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com

↙ 点击下方“阅读原文”，查看更多干货