安全公告編號(hào)：CNTA-2021-0002

　　2021年1月8日，國(guó)家信息安全漏洞共享平臺(tái)（CNVD）收錄了致遠(yuǎn)OA系統(tǒng)文件上傳漏洞（CNVD-2021-01627）。攻擊者利用該漏洞，可在未授權(quán)的情況下上傳惡意文件，獲取目標(biāo)服務(wù)器權(quán)限。目前，漏洞細(xì)節(jié)已公開(kāi)，廠商已發(fā)布版本補(bǔ)丁修復(fù)。

　　一、漏洞情況分析

　　致遠(yuǎn)OA是由北京致遠(yuǎn)互聯(lián)軟件股份有限公司（以下簡(jiǎn)稱致遠(yuǎn)公司）開(kāi)發(fā)的一款協(xié)同管理軟件，構(gòu)建了面向中大型、集團(tuán)組織的數(shù)字化協(xié)同運(yùn)營(yíng)平臺(tái)。該系統(tǒng)基于組織管理的基礎(chǔ)理論設(shè)計(jì)，支持大型組織的發(fā)展和變化，解決了組織結(jié)構(gòu)、業(yè)務(wù)重組、組織流程再造等結(jié)構(gòu)治理相對(duì)應(yīng)的問(wèn)題，滿足集團(tuán)戰(zhàn)略管控、營(yíng)運(yùn)管控和財(cái)務(wù)管控的戰(zhàn)略協(xié)同行為和垂直業(yè)務(wù)管控的要求。

　　近日，有安全人員披露了致遠(yuǎn)OA系統(tǒng)的高危漏洞。未經(jīng)身份驗(yàn)證的攻擊者利用該漏洞，可通過(guò)精心構(gòu)造惡意腳本文件，使用POST方法向目標(biāo)服務(wù)器上傳該文件，上傳后即可通過(guò)遠(yuǎn)程執(zhí)行代碼，實(shí)現(xiàn)網(wǎng)站后門(mén)的植入，進(jìn)而控制目標(biāo)服務(wù)器。目前，漏洞細(xì)節(jié)已公開(kāi)，廠商已發(fā)布版本補(bǔ)丁修復(fù)。

　　CNVD對(duì)該漏洞的綜合評(píng)級(jí)為“高?！薄?/p>

　　二、漏洞影響范圍

　　漏洞影響的產(chǎn)品版本包括：

　　致遠(yuǎn) OA V8.0

　　致遠(yuǎn) OA V7.1、V7.1SP1

　　致遠(yuǎn) OA V7.0、V7.0SP1、V7.0SP2、V7.0SP3

　　致遠(yuǎn) OA V6.0、V6.1SP1、V6.1SP2

　　致遠(yuǎn) OA V5.x

　　三、漏洞處置建議

　　目前，致遠(yuǎn)OA官方已發(fā)布補(bǔ)丁完成漏洞修復(fù)，CNVD平臺(tái)建議用戶立即通過(guò)官方網(wǎng)站安裝最新補(bǔ)丁：

　　http://service.seeyon.com/patchtools/tp.html#/patchList?type=%E5%AE%89%E5%85%A8%E8%A1%A5%E4%B8%81&id=1

　　建議使用致遠(yuǎn)OA系統(tǒng)構(gòu)建網(wǎng)站的信息系統(tǒng)運(yùn)營(yíng)者進(jìn)行自查，發(fā)現(xiàn)存在漏洞后，及時(shí)升級(jí)或聯(lián)系致遠(yuǎn)公司。

　　感謝遠(yuǎn)江盛邦（北京）網(wǎng)絡(luò)安全科技股份有限公司、北京知道創(chuàng)宇信息技術(shù)股份有限公司（404實(shí)驗(yàn)室）為本報(bào)告提供的技術(shù)支持。