通达OA SQL注入漏洞

来源:scanv2019.12.05

一 漏洞概述

通达OA是由北京通达信科科技有限公司研发的一款通用型OA产品,涵盖了个人事务、行政办公、流程审批、知识管理、人力资源管理、组织机构管理等企业信息化管理功能。2015年,通达云OA入驻阿里云企业应用专区,已为众多中小企业提供了稳定、可靠、强悍的云计算支撑。
近日,通达OA 最新版本被爆出SQL注入漏洞,该漏洞存在于某个服务接口,可利用精心构造的请求包进行SQL注入。虽然该系统对危险字符和关键字进行了校验判断,但仍然可被绕过,攻击者可利用该漏洞获取服务器敏感信息。

二 漏洞危害

攻击者可利用该漏洞获取服务器敏感信息。

三 影响版本

仅测试通达OA 11.0版

四 复现过程

五 影响范围

根据 ZoomEye 网络空间搜索引擎[1]对关键字 “Tongda office anywhere httpd” 进行搜索,共得到 224 条 IP 历史记录,主要分布在中国。

六 修复建议

1. 建议联系厂商尽快升级至修复版本

七 相关链接

ZoomEye 网络空间搜索引擎:https://www.zoomeye.org/searchResult?q=%2Bapp%3A%22Tongda%20office%20anywhere%20httpd%22&t=all&is_dork=0

热门文章

关注知道创宇云安全

获取安全动态