致远OA 前台任意用户密码重置漏洞

在致远OA中存在短信验证码绕过导致任意用户密码可重置。

1、修改任意用户密码：如果被攻击者利用，攻击者可以对受任意用户的密码进行重置，与其他问题搭配提升危害。

2、敏感信息泄露：攻击者通过重置用户的密码，使用该用户身份访问敏感页面，查看敏感信息，可能导致敏感信息泄露。

一、临时缓解措施：在确保业务不受影响的前提下，可暂时拦截对/seeyon/rest/phoneLogin/phoneCode/resetPassword接口的访问请求。
限制访问来源地址，如非必要，不要将系统开放在互联网上。
二、升级修复方案：升级产品至最新版本，下载地址参考：https://www.seeyon.com/