登录  免费注册
当前位置:首页 > 安全公告 > 正文

关于致远OA-A8系统存在远程命令执行漏洞的安全公告

2019-06-27 11:47:21
安全公告编号:CNTA-2019-0023

2019年6月26日,国家信息安全漏洞共享平台(CNVD)收录了致远OA-A8系统远程命令执行漏洞(CNVD-2019-19299)。攻击者利用该漏洞,可在未授权的情况下上传任意文件,实现远程命令执行。目前,漏洞原理和利用工具已扩散,厂商已于26日晚10时完成修复并向客户发出补丁,建议用户立即更新或采取临时修补方案进行防护。

一、漏洞情况分析

致远OA-A8是由北京致远互联软件股份有限公司(以下简称致远公司)开发的一款协同管理软件,构建了面向中大型、集团组织的数字化协同运营平台。致远OA-A8系统基于组织管理的基础理论设计,支持大型组织的发展和变化,解决了组织结构、业务重组、组织流程再造等结构治理相对应的问题,满足集团战略管控、营运管控和财务管控的战略协同行为和垂直业务管控的要求。

该系统的漏洞点在于致远OA-A8系统的Servlet接口暴露,安全过滤处理措施不足,使得用户在无需认证的情况下实现任意文件上传。攻击者利用该漏洞,可在未授权的情况下,远程发送精心构造的网站后门文件,从而获取目标服务器权限,在目标服务器上执行任意代码。

CNVD对该漏洞的综合评级为“高危”。

二、漏洞影响范围

漏洞影响的产品版本包括:

致远A8-V5协同管理软件 V6.1sp1

致远A8+协同管理软件V7.0、V7.0sp1、V7.0sp2、V7.0sp3

致远A8+协同管理软件V7.1

CNVD秘书处对致远OA-A8系统在我国境内的分布情况进行统计,结果显示我国境内的致远OA-A8系统数量约为3.1万。综合CNVD技术支撑单位报送、CNVD秘书处主动检测的结果显示,我国境内共有334台服务器存在漏洞,受影响比例约为1.1%。我平台已将检测结果与致远公司共享,协助其开展用户侧修复相关工作。

三、漏洞处置建议

目前,致远公司已发布补丁完成修复,并成立专项小组,对涉及以上版本的用户进行排查。补丁和更新信息获取方式如下:

1、登录致远互联服务网站(http://support.seeyon.com)获取补丁;

2、关注“致远互联微服务”公众号,及时获取安全更新通知;

3、如有技术问题可联系致远公司,Email:security@seeyon.com,电话:400-700-8822。

临时修补方案如下:

1、 配置URL访问控制策略;

2、 在公网部署的致远A8+服务器,通过ACL禁止外网对“/seeyon/htmlofficeservlet”路径的访问;

3、 对OA服务器上的网站后门文件进行及时查杀。

建议使用致远OA-A8系统的信息系统运营者进行自查,发现存在漏洞后,按照以上方案及时修复。

另,致远OA在部分企事业单位的内网办公系统应用也较为广泛,建议及时进行自查和修复。


感谢北京致远互联软件股份有限公司、北京知道创宇信息技术股份有限公司(404实验室)、天津市国瑞数码安全系统股份有限公司(零点实验室)为本报告提供的技术支持。

(编辑:CNVD) | 已有1条评论

评论

2019-06-27 张金苗 张金苗
可以的
登录 后才能发表评论
已有1条评论