致远OA任意文件上传漏洞

漏洞描述

致远OA是一款企业级的办公自动化软件，提供全方位的企业管理解决方案。

受影响版本的致远OA前台存在任意文件上传漏洞，攻击者可利用该漏洞上传文件实现远程命令执行。

漏洞名称	致远OA任意文件上传漏洞
漏洞类型	任意文件上传
发现时间	2022-07-19
漏洞影响广度	广
MPS编号	MPS-yqon-8ghe
CVE编号	-
CNVD编号	-

影响范围

致远OA A6、A8、A8N的V8.0SP2、V8.1、V8.1SP1@影响所有版本

致远OA G6、G6N的V8.1、V8.1SP1@影响所有版本

修复方案

防火墙过滤/seeyon/wpsAssistServlet路径

官方已发布补丁：http://service.seeyon.com/patchtools/tp.html#/patchList?type=%E5%AE%89%E5%85%A8%E8%A1%A5%E4%B8%81&id=119

参考链接

https://www.oscs1024.com/hd/MPS-yqon-8ghe

http://service.seeyon.com/patchtools/tp.html#/patchList?type=%E5%AE%89%E5%85%A8%E8%A1%A5%E4%B8%81&id=119

免费情报订阅&代码安全检测

OSCS是国内首个开源软件供应链安全社区，社区联合开发者帮助全球顶级开源项目解决安全问题，并提供实时的安全漏洞情报，同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。

免费代码安全检测工具： https://www.murphysec.com/?src=osc

免费情报订阅： https://www.oscs1024.com/cm/?src=osc

具体订阅方式详见： https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc