一、漏洞详情

通达OA（Office Anywhere网络智能办公系统）是一套协同办公自动化软件，是适合各个行业用户的综合管理办公平台。

近日，监测到通达OA存在一个SQL注入漏洞（CVE-2023-5019）。通达OA 11.10之前版本中存在SQL注入漏洞，由于对用户输入过滤不足，经过身份验证的威胁者可以利用general/hr/manage/staff_reinstatement/delete.php文件下的$REINSTATMENT_ID参数执行SQL注入攻击，从而获取数据库中的敏感信息。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

通达OA 版本< 11.10

三、修复建议

目前官方已有可更新版本，建议受影响用户升级至：

JumpServer >= v3.5.5

JumpServer >= v3.6.4

目前该漏洞已经修复，受影响用户可升级到通达OA 版本>=11.10或当前最新版本。

下载链接：https://www.tongda2000.com/download/p2022.php