致远OA文件上传漏洞安全风险提示

报告编号：B6-2021-010801

报告来源：360CERT

报告作者：360CERT

更新日期：2021-01-08

0x01漏洞简述

2021年01月08日，360CERT监测发现致远OA发布了致远OA的风险通告，漏洞等级：严重，漏洞评分：9.8。

致远OA旧版本某些接口存在未授权访问，攻击者能够上传恶意脚本文件，从而控制服务器。

对此，360CERT建议广大用户好资产自查以及预防工作，以免遭受黑客攻击。

0x02风险等级

360CERT对该漏洞的评定结果如下

评定方式	等级
威胁等级	严重
影响面	广泛
360CERT评分	9.8

0x03漏洞详情

致远OA A8 是一款流行的协同管理软件，在各中、大型企业机构中广泛使用。

由于致远OA旧版本某些接口能被未授权访问，并且部分函数存在过滤不足，攻击者通过构造恶意请求，可在未授权的情况下上传恶意脚本文件，从而控制服务器。

0x04影响版本

–致远:致远OA: V8.0

–致远:致远OA: V7.1,V7.1SP1

–致远:致远OA: V7.0,V7.0SP1,V7.0SP2,V7.0SP3

–致远:致远OA: V6.0,V6.1SP1,V6.1SP2

–致远:致远OA: V5.x

0x05修复建议

通用修补建议

升级官方发布的最新补丁，链接如下：

2020年10-12月安全补丁合集

http://service.seeyon.com/patchtools/tp.html#/patchList?type=%E5%AE%89%E5%85%A8%E8%A1%A5%E4%B8%81&id=1

0x06相关空间测绘数据

360安全大脑-Quake网络空间测绘系统通过对全网资产测绘，发现致远OA具体分布如下图所示。

0x07产品侧解决方案

 

0x08时间线

2020-12-29  致远OA官方发布补丁

2021-01-08  360CERT发布通告

0x09参考链接

1、 2020年10-12月安全补丁合集

http://service.seeyon.com/patchtools/tp.html#/patchList?type=%E5%AE%89%E5%85%A8%E8%A1%A5%E4%B8%81&id=1

0x0a特制报告下载链接

一直以来，360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务，现360CERT正式推出安全通告特制版报告，以便用户做资料留存、传阅研究与查询验证。用户可直接通过以下链接进行特制报告的下载。

致远OA 文件上传漏洞

http://pub-shbt.s3.360.cn/cert-public-file/【360CERT】致远OA_文件上传漏洞.pdf

若有订阅意向与定制需求请扫描下方二维码进行信息填写，或发送邮件至g-cert-report#360.cn ，并附上您的 公司名、姓名、手机号、地区、邮箱地址。

原文始发于微信公众号（三六零CERT）：致远OA 文件上传漏洞