致远A8前台上传解压漏洞
漏洞描述
致远A8是一款企业级的办公自动化软件,提供全方位的企业管理解决方案。
致远A8协同管理系统在前台上传解压时存在漏洞,攻击者可利用此漏洞直接写入任意文件,进而获取目标系统的控制权限。
上传:/seeyon/fileUpload.do?method=processUpload&maxSize=null
解压:/seeyon/content/content.do?method=invokingForm&extensions=zip&isNew=1&ofdFileld={ofdFileld}&subApp=2
| 漏洞名称 | 致远A8前台上传解压漏洞 |
|---|---|
| 漏洞类型 | 路径遍历 |
| 发现时间 | 2023-08-22 |
| 漏洞影响广度 | 广 |
| MPS编号 | MPS-6tdh-8qpu |
| CVE编号 | - |
| CNVD编号 | - |
影响范围
致远A8@[V8, V8]
修复方案
防火墙增加致远A8解压接口的拦截:/seeyon/content/content.do
参考链接
https://www.oscs1024.com/hd/MPS-6tdh-8qpu
免费情报订阅&代码安全检测
OSCS是国内首个开源软件供应链安全社区,社区联合开发者帮助全球顶级开源项目解决安全问题,并提供实时的安全漏洞情报,同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。
免费代码安全检测工具: https://www.murphysec.com/?src=osc
免费情报订阅: https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见: https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc
