CNNVD 关于致远OA文件上传漏洞情况的通报 – 作者:华云安huaun

26日，国家信息安全漏洞库（CNNVD）发布

关于致远OA文件上传漏洞情况的通报，华云安作为CNNVD技术支撑单位为此漏洞通报提供支持。

近日，国家信息安全漏洞库新增中国用友致远软件技术有限公司的致远OA文件上传漏洞1个（CNNVD-202101-1460）。成功利用漏洞的攻击者可以在未授权的情况下实现恶意文件上传，从而控制服务器。致远OA V8.0、V8.0SP1、V7.1、V7.1SP1、V7.0、V7.0SP1、V7.0SP2、V7.0SP3、V6.0、V6.1SP1、V6.1SP2版本均受漏洞影响。目前，致远官方已发布版本更新修复了漏洞，建议用户及时确认是否受到漏洞影响，尽快采取修补措施。

一、漏洞介绍

致远OA是中国用友致远软件技术有限公司下属的全资子公司北京致远互联软件股份有限公司的一套办公自动化软件。

该漏洞源于致远OA部分版本ajax接口存在未授权访问，攻击者通过构造恶意请求，可在无需登录的情况下上传恶意文件，从而控制目标服务器。

二、危害影响

成功利用漏洞的攻击者可以在未授权的情况下实现恶意文件上传，从而控制服务器。

三、修复建议

目前，致远官方已发布版本更新修复了漏洞，建议用户及时确认是否受到漏洞影响，尽快采取修补措施。官方链接如下：

http://service.seeyon.com/patchtools/tp.html#/patchList?type=%E5%AE%89%E5%85%A8%E8%A1%A5%E4%B8%81&id=1

来源：freebuf.com 2021-01-27 09:55:17 by: 华云安huaun