一 漏洞概述

通达OA是由北京通达信科科技有限公司研发的一款通用型OA产品，涵盖了个人事务、行政办公、流程审批、知识管理、人力资源管理、组织机构管理等企业信息化管理功能。2015年，通达云OA入驻阿里云企业应用专区，已为众多中小企业提供了稳定、可靠、强悍的云计算支撑。
近日，通达OA 最新版本被爆出SQL注入漏洞，该漏洞存在于某个服务接口，可利用精心构造的请求包进行SQL注入。虽然该系统对危险字符和关键字进行了校验判断，但仍然可被绕过，攻击者可利用该漏洞获取服务器敏感信息。

二 漏洞危害

攻击者可利用该漏洞获取服务器敏感信息。

三 影响版本

仅测试通达OA 11.0版

四 复现过程

无

五 影响范围

根据 ZoomEye 网络空间搜索引擎[1]对关键字 “Tongda office anywhere httpd” 进行搜索，共得到 224 条 IP 历史记录，主要分布在中国。

六 修复建议

1. 建议联系厂商尽快升级至修复版本

七 相关链接

ZoomEye 网络空间搜索引擎：https://www.zoomeye.org/searchResult?q=%2Bapp%3A%22Tongda%20office%20anywhere%20httpd%22&t=all&is_dork=0