蓝凌OA dataxml.jsp 远程命令执行漏洞

蓝凌OA系统的dataxml.jsp文件存在远程代码执行（RCE）漏洞。尽管该系统此前曾出现过后台代码执行漏洞，但此次漏洞更为严重，攻击者可以通过构造特定的POST请求，利用该漏洞将系统中的文件从/ekp/sys/common/目录移动到/resource/help/km/review/目录，随后在前台新的位置执行这些文件，从而达到前台远程代码执行的目的。此漏洞严重威胁系统的安全性和数据完整性，可能导致系统被完全控制。

可能导致攻击者在服务器上执行任意命令，获取敏感数据、破坏系统文件、窃取用户凭证、进行拒绝服务攻击等。此外，攻击者还可能利用该漏洞进行权限提升，进一步控制整个服务器或网络。

一、临时缓解措施:
在确保业务不受影响的前提下，可暂时拦截对/sys/ui/sys_ui_component/sysUiComponent.do接口的访问请求。
限制访问来源地址，如非必要，不要将系统开放在互联网上。
二、升级修复方案:
升级产品至最新版本，下载地址：https://www.landray.com.cn/security