一、漏洞详情
国家信息安全漏洞库新增中国用友致远软件技术有限公司的致远OA文件上传漏洞1个(CNNVD-202101-1460)。成功利用漏洞的攻击者可以在未授权的情况下实现恶意文件上传,从而控制服务器。致远OA V8.0、V8.0SP1、V7.1、V7.1SP1、V7.0、V7.0SP1、V7.0SP2、V7.0SP3、V6.0、V6.1SP1、V6.1SP2版本均受漏洞影响。目前,致远官方已发布版本更新修复了漏洞,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。
致远OA是中国用友致远软件技术有限公司下属的全资子公司北京致远互联软件股份有限公司的一套办公自动化软件。
该漏洞源于致远OA部分版本ajax接口存在未授权访问,攻击者通过构造恶意请求,可在无需登录的情况下上传恶意文件,从而控制目标服务器。
二、影响范围
V8.0
V8.0SP1
V7.1
V7.1SP1
V7.0
V7.0SP1
V7.0SP2
V7.0SP3
V6.0
V6.1SP1
V6.1SP2
三、修复建议
致远官方已发布版本更新修复了漏洞,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。官方链接如下:
http://service.seeyon.com/patchtools/tp.html#/patchList?type=%E5%AE%89%E5%85%A8%E8%A1%A5%E4%B8%81&id=1