通告编号:NS-2023-0038
2023-09-12
TA****G:
致远OA、任意用户登录
漏洞危害:
攻击者利用该漏洞可实现任意用户登录
版本:
**1.0
**
1
漏洞概述
近日,绿盟科技CERT监测到致远OA前台任意用户密码修改漏洞,由于用户在修改密码时短信验证码认证存在缺陷,攻击者可以通过构造恶意数据修改任意用户密码,导致任意用户登录,进一步利用可实现远程代码执行。
致远OA是一款企业级办公自动化软件,它提供了一系列的办公自动化解决方案,包括文档管理、流程管理、协同办公、知识管理、人力资源管理等功能。致远OA可以帮助企业实现信息化管理,提高工作效率和管理水平,同时也可以提高企业的竞争力。
SEE MORE →
2****影响范围
受影响版本:
致远OA=V5
致远OA=G6
致远OA=V8.1SP2
致远OA=V8.2
3****漏洞防护
3.1 官方升级
目前官方已发布安全补丁修复该漏洞,建议受影响的用户尽快更新防护:
END
声明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。
绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。
绿盟科技CERT ∣微信公众号
长按识别二维码,关注网络安全威胁信息