致远OA-A8系统存在远程命令执行漏洞
致远OA-A8是由北京致远互联软件股份有限公司(以下简称致远公司)开发的一款协同管理软件,构建了面向中大型、集团组织的数字化协同运营平台。
一、漏洞分析
CNVD收录时间:2019-6-26
漏洞编号:CNVD-2019-19299
危害等级:高危
漏洞描述:该系统的漏洞点在于致远OA-A8系统的Servlet接口暴露,安全过滤处理措施不足,使得用户在无需认证的情况下实现任意文件上传。攻击者利用该漏洞,可在未授权的情况下,远程发送精心构造的网站后门文件,从而获取目标服务器权限,在目标服务器上执行任意代码。
二、漏洞影响范围
漏洞影响的产品版本包括:
致远A8-V5协同管理软件V6.1sp1
致远A8+协同管理软件V7.0、V7.0sp1、V7.0sp2、V7.0sp3
致远A8+协同管理软件V7.1
三、漏洞处置建议
(1)目前,致远公司已发布补丁完成修复,并成立专项小组,对涉及以上版本的用户进行排查。补丁和更新信息获取方式如下:
1、登录致远互联服务网站(http://support.seeyon.com)获取补丁;
2、关注“致远互联微服务”公众号,及时获取安全更新通知;
3、如有技术问题可联系致远公司,Email:security@seeyon.com,电话:400-700-8822。
(2)禁止/seeyon/htmlofficeservlet访问
