通达OA前台任意用户伪造登录漏洞

发布时间:2020-04-21 00:00:00

基本信息
风险等级: 高危
漏洞类型: 任意用户伪造登录漏洞
漏洞利用: 暂无 , 提交POC
漏洞编号: 暂无
漏洞描述

2020年04月17日, 通达OA官方在更新了一个v11版本安全补丁, 其中修复了一个任意用户伪造登录漏洞。未经授权的远程攻击者可以通过精心构造的请求包进行任意用户伪造登录。

通达OA是通达信科打造的协同办公平台,涵盖了工作流程、电子邮件、即时通讯、公告通知、新闻、日程安排、工作日志、知识管理,等近300个功能模块,国内用户众多。

影响范围

通达OA < 11.5.200417 版本

解决方案
修复建议

请受影响的用户及时更新补丁,详细操作及补丁下载请见官方链接: https://www.tongda2000.com/download/sp2019.php

漏洞排查

排查建议:可使用观星台快速定位资产,进行风险排查。

目前此漏洞没有可用的脚本检测方法,如果您有相关脚本,欢迎登录POC平台提交,获取丰富奖励!

情报来源
斗象智能安全平台
观星专注于网络安全资产管理。
为您提供资产发现、威胁情报、应急响应、暗网溯源服务。
400-0365-911
www.shuziguanxing.com