企业OA系统曝出远程代码执行漏洞!用户可实现任意文件上传

栏目: 编程工具 · 发布时间: 5年前

内容简介:致远 OA A8 系统是由北京致远互联软件股份有限公司开发的一款协同管理软件,其近日被曝存在远程代码执行漏洞,且目前已有漏洞 poc 流出并被在野利用。致远OA-A8是由北京致远互联软件股份有限公司(以下简称致远公司)开发的一款协同管理软件,构建了面向中大型、集团组织的数字化协同运营平台。致远OA-A8系统基于组织管理的基础理论设计,支持大型组织的发展和变化,解决了组织结构、业务重组、组织流程再造等结构治理相对应的问题,满足集团战略管控、营运管控和财务管控的战略协同行为和垂直业务管控的要求。

致远 OA A8 系统是由北京致远互联软件股份有限公司开发的一款协同管理软件,其近日被曝存在远程代码执行漏洞,且目前已有漏洞 poc 流出并被在野利用。

企业OA系统曝出远程代码执行漏洞!用户可实现任意文件上传

致远OA-A8是由北京致远互联软件股份有限公司(以下简称致远公司)开发的一款协同管理软件,构建了面向中大型、集团组织的数字化协同运营平台。致远OA-A8系统基于组织管理的基础理论设计,支持大型组织的发展和变化,解决了组织结构、业务重组、组织流程再造等结构治理相对应的问题,满足集团战略管控、营运管控和财务管控的战略协同行为和垂直业务管控的要求。

漏洞描述

该系统的漏洞点在于致远OA-A8系统的Servlet接口暴露,安全过滤处理措施不足,使得用户在无需认证的情况下实现任意文件上传。攻击者利用该漏洞,可在未授权的情况下,远程发送精心构造的网站后门文件,从而获取目标服务器权限,在目标服务器上执行任意代码。

CNVD对该漏洞的综合评级为“高危”。

影响范围

  • 致远 A8-V5 协同管理软件 V6.1sp1

  • 致远 A8+ 协同管理软件 V7.0、V7.0sp1、V7.0sp2、V7.0sp3

  • 致远 A8+ 协同管理软件 V7.1

解决方案

目前致远公司已紧急发布补丁完成修复,受漏洞影响的用户可以联系致远官方获取补丁。( http://support.seeyon.com

无法更新补丁的用户,作为临时解决方案,可考虑在不影响系统正常使用的情况下,限制  /seeyon/htmlofficeservlet 路径的访问。

企业OA系统曝出远程代码执行漏洞!用户可实现任意文件上传

OA系统安全

OA办公系统中流转着大量的数据。OA作为企业管理的 工具 正在发展成为一个庞大的信息中心。随着OA系统功能的完善与使用的日益深入,OA也正在承载着许多其他管理软件不具备的功能。也正因如此,安全性成为OA选型者需要先考虑的问题。那么如何保障OA系统的安全?

1. 数据是否加密

我们都知道OA办公系统中的数据是保存在数据库中的,但保存的数据究竟是明文保存还是密文保存呢?这就决定着数据的安全性。因为运行OA办公系统的服务器安全与OA本身程序的架构安全是无关的,当服务器被入侵后,如果数据库中的数据没有加密,就会全部泄漏。

所以,数据库加密是OA办公系统安全性考核的第一步。

2. 登陆安全性

账号安全是所有的管理系统的第一步,账号安全主要是为了防止暴力破解和猜解账号密码,一般厂商做得的好的会支持三种验证方式:验证码验证、多次登陆错误账号自动锁定、USBKEY软硬件结合验证,其实普通企业前两种方式即可满足需要,如果机密数据较多的,可以选择usbkey的验证方式,当然,现在的微信企业号的管理员设置好微信号的验证方式是为了方便使用,只满足移动端的访问,所以微信企业号的安全验证是安全级别较高的。

3. 开发语言本身的安全性

市面上现在还有ASP语言开发的OA办公系统,而且也有人买,并非说ASP语言不好,而是它的漏洞被知道的太多,开发商稍有放松,就会有不为人知的安全漏洞。

4. 接口安全

现在许多厂商都有开放接口供客户自己开发调用,甚至有的厂商把接口做成是不需要密文传输的,安全性可想而知。

来源:CNVD、长亭、搜狐

:warning: 注意

2019 看雪安全开发者峰会门票正在热售中!

长按识别下方 二维码 即可享受  2.5折  优惠!

企业OA系统曝出远程代码执行漏洞!用户可实现任意文件上传

企业OA系统曝出远程代码执行漏洞!用户可实现任意文件上传

公众号ID:ikanxue

官方微博:看雪安全

商务合作:wsc@kanxue.com

点击下方“阅读原文”,查看更多干货


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

機器,平台,群眾

機器,平台,群眾

安德魯‧麥克費(Andrew McAfee)、艾瑞克‧布林優夫森(Erik Brynjolfsson) / 李芳齡 / 天下文化 / 2017-12-27 / TWD550

★★Amazon.com商業理財Top1 ★★ 全球暢銷書《第二次機器時代》作者最新力作 兩位MIT數位頂尖科學家歷時三年時間 走訪矽谷、華府、劍橋、紐約、倫敦、舊金山等科技政經重鎮 拜會許多領域精英進行交流,結合宏觀趨勢觀察, 指出人人都應關注的三重革命 科技正以空前速度改變每個產業及每個人的生活, 你該如何做,才能保持領先? 我們生活在一個奇特的......一起来看看 《機器,平台,群眾》 这本书的介绍吧!

HTML 编码/解码
HTML 编码/解码

HTML 编码/解码

UNIX 时间戳转换
UNIX 时间戳转换

UNIX 时间戳转换

RGB CMYK 转换工具
RGB CMYK 转换工具

RGB CMYK 互转工具