【安全通报】通达OA前台任意用户伪造登录漏洞

xiannv  1437天前

2020年04月17日, 通达OA官方在更新了一个v11版本安全补丁, 其中修复了一个任意用户伪造登录漏洞。未经授权的远程攻击者可以通过精心构造的请求包进行任意用户伪造登录。

微信截图_20200421194340.png

通达OA是通达信科打造的协同办公平台,涵盖了工作流程、电子邮件、即时通讯、公告通知、新闻、日程安排、工作日志、知识管理,等近300个功能模块,国内用户众多。

概况

根据目前FOFA系统最新数据(一年内数据),显示全球范围内共有19582个通达OA服务对外开放。中国大陆使用数量最多,共有19376个,中国香港特别行政区第二,共有64个,美国第三,共有64个,印度尼西亚第四,共有17个,南非第五,共有9个。

全球范围内分布情况如下(仅为分布情况,非漏洞影响情况)

微信截图_20200421194601.png

中国大陆地区广东省使用数量最多,共有3486个,浙江省第二,共有2699个,北京市第三,共有1975个,湖北省第四,共有1801个,江苏省第五,共有1164个

微信截图_20200421194523.png

危害等级

高危

漏洞类型

任意用户伪造登录漏洞

漏洞影响

通达OA < 11.5.200417 版本

修复建议

目前官方已发表各个版本修复补丁,可进入以下页面下载。

https://www.tongda2000.com/download/sp2019.php

参考

[1] https://weixin.shuziguanxing.com/selectDetailsTempateId/418


白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。

最新评论

昵称
邮箱
提交评论