一、漏洞详情
通达OA(Office Anywhere网络智能办公系统)是一套协同办公自动化软件,是适合各个行业用户的综合管理办公平台。
近日,监测到通达OA存在一个SQL注入漏洞(CVE-2023-5019)。通达OA 11.10之前版本中存在SQL注入漏洞,由于对用户输入过滤不足,经过身份验证的威胁者可以利用general/hr/manage/staff_reinstatement/delete.php文件下的$REINSTATMENT_ID参数执行SQL注入攻击,从而获取数据库中的敏感信息。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
通达OA 版本< 11.10
三、修复建议
目前官方已有可更新版本,建议受影响用户升级至:
JumpServer >= v3.5.5
JumpServer >= v3.6.4
目前该漏洞已经修复,受影响用户可升级到通达OA 版本>=11.10或当前最新版本。
下载链接:https://www.tongda2000.com/download/p2022.php