高危
致远OA 前台任意用户密码重置漏洞
披露时间:
2023-09-06
更新时间:
2025-02-10
CT 编号
CT-868971
CVE 编号
N/A
CNVD 编号
N/A
CNNVD 编号
N/A
原理分类
账户认证体系漏洞
漏洞评分
9.4
漏洞描述
在致远OA中存在短信验证码绕过导致任意用户密码可重置。
漏洞危害
1、修改任意用户密码:如果被攻击者利用,攻击者可以对受任意用户的密码进行重置,与其他问题搭配提升危害。
2、敏感信息泄露:攻击者通过重置用户的密码,使用该用户身份访问敏感页面,查看敏感信息,可能导致敏感信息泄露。
修复方法
1、升级更新:目前官方已发布对应补丁包,建议选择对应产品的补丁下载升级:
https://service.seeyon.com/patchtools/tp.html#/patchList?type=%E5%AE%89%E5%85%A8%E8%A1%A5%E4%B8%81&id=171
评分维度
长亭安全产品覆盖情况
雷池(SafeLine)下一代Web应用防火墙
洞鉴(X-Ray)安全评估系统
云图(Cloud Atlas)攻击面管理运营平台
牧云(CloudWalker) 主机安全管理平台
全悉(T-ANSWER)高级威胁分析预警系统
谛听(D-Sensor) 伪装欺骗系统
漏洞时间线
漏洞披露
2023-09-06
POC 披露
2023-09-07
漏洞信息更新
2025-02-10
