致远 OA A8 无需认证 Getshell 漏洞

释放双眼,带上耳机,听听看~!

致远互联旗下致远 A8+协同管理软件,存在远程 Getshell 漏洞。作为中国协同管理软件及云服务领先厂商,致远 A8+协同管理软件在国内拥有央企、大型公司都有广大的应用。 

验证版本: 

A8+V7.0 SP3、A8+ V6.1 SP2 

(V6.1 SP1 验证尚不存在,其他版本未验证) 

触发条件:没有限制。 

上述版本存在Getshell 漏洞。系统某处在无需登录情况下可直接上传任意文件,攻击者一旦上传精心构造的后门文件即可 Getshell,获得目标服务器的权限。目前利用代码已在野外公开,官方提供的补丁程序仍然可利

用。

缓解措施:

1.通过 ACL 禁止外网对“/seeyon/htmlofficeservlet”路径的访问。 

2、官方补丁 

请尽快联系致远官方,索要官方补丁程序。

公众号回复:致远 获得poc下载地址

__________________________________________________________

我们建立了一个以知识共享为主的 免费 知识星球,旨在通过相互交流,促进资源分享和信息安全建设,为以此为生的工作者、即将步入此行业的学生等提供各自之力。为保持知识星球长久发展,所有成员需遵守本星球免费规则,鼓励打赏;同时保持每月分享至少一次资源(安全类型资源不限,但不能存在一切违法违规及损害他人利益行为),避免“伸手党”,即使新人我们也鼓励通过分享心得和笔记取得进步,“僵尸粉”将每月定期清理。

想加入我们的微信群,目前聚集了来自全球信息安全公司的CEO,安全部门主管,技术总监,信安创业者,网络安全专家,安全实验室负责人,公司HR,在这里你将获得高质量的技术交流空间,更多的内推高薪信息安全岗位,更多与安全大咖们面对面交流的机会。可以扫码添加我的微信,需提供真实有效的公司名称+姓名,验证通过后可加入···

人已赞赏
安全工具

免费信息安全知识星球分享

2019-10-11 17:04:35

安全工具

企业内网之网络管控

2019-10-11 17:04:41

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索