关注我们

致远 OA A8 无需认证 Getshell 漏洞

LzersLzers 安全工具 2019-06-27 855028 55

致远互联旗下致远 A8+协同管理软件,存在远程 Getshell 漏洞。作为中国协同管理软件及云服务领先厂商,致远 A8+协同管理软件在国内拥有央企、大型公司都有广大的应用。 

验证版本: 

A8+V7.0 SP3、A8+ V6.1 SP2 

(V6.1 SP1 验证尚不存在,其他版本未验证) 

触发条件:没有限制。 

上述版本存在Getshell 漏洞。系统某处在无需登录情况下可直接上传任意文件,攻击者一旦上传精心构造的后门文件即可 Getshell,获得目标服务器的权限。目前利用代码已在野外公开,官方提供的补丁程序仍然可利

用。

缓解措施:

1.通过 ACL 禁止外网对“/seeyon/htmlofficeservlet”路径的访问。 

2、官方补丁 

请尽快联系致远官方,索要官方补丁程序。

致远 OA A8 无需认证 Getshell 漏洞

POC

隐藏资源

此资源,你需要回复评论后才能查看

版权声明

本文仅代表作者观点,不代表黑白网立场。
如文章侵犯了您的权利,请通过邮箱联系我们删除。
详情查看:版权纠纷
E-Mail:server@heibai.org

喜欢1发布评论

55条评论

  • hai 发表于 3个月前

    学习一下poc

    #4
  • a001 发表于 3个月前

    学习一下poc

    #8
  • a001 发表于 3个月前

    谢谢大表哥的漏洞验证脚本

    #9
  • qwerty789 发表于 3个月前

    谢谢大表哥的漏洞验证脚本

    #12
  • IeDT 发表于 3个月前

    学习学习

    #16
  • lren 发表于 3个月前

    跟大佬学习

    #17
  • yht957 发表于 3个月前

    学习交流,膜拜大佬

    #18
  • v200300 发表于 3个月前

    学习交流,膜拜大佬!!

    #20
  • igoab3 发表于 3个月前

    学习交流,膜拜大佬

    #21
  • go0p 发表于 3个月前

    你好呀今天也是充满希望的一天呐

    #22
  • 小猫 发表于 2个月前

    谢谢大表哥的脚本

    #28
  • lwd 发表于 2个月前

    谢谢 谢谢分享

    #29
  • Aedoo 发表于 2个月前

    希望大佬的POC可以派的上用场!

    #33
  • mzxf 发表于 2个月前

    支持一下

    #38
  • 我看看 发表于 2个月前

    希望大佬的POC可以派的上用场!

    #45
  • jianer 发表于 2个月前

    学习交流,膜拜大佬

    #46
  • fsw72 发表于 1个月前

    看看POC,学习一下!

    #48
  • mozi 发表于 3周前

    可以的大佬

    #52

发表评论

  • 昵称(必填)
  • 邮箱
  • 网址