通达OA任意用户登录漏洞安全风险通告

一、漏洞背景

近期，监测发现通达OA官网发布了最新11.5版本。产品更新说明中提示修复了已知的若干问题，其中包括一处任意用户登录漏洞。

对此，嘉诚安全建议广大通达OA用户做好安全自查工作，及时安装最新补丁，以免遭受黑客攻击。

二、漏洞详情

未经授权的攻击者可以通过精心构造的HTTP请求登录任意用户，包括Admin用户，登录之后可进一步上传恶意文件控制网站服务器。

三、危害影响

通达OA < 11.5版本

四、修复建议

目前，官方已发布最新版本，建议尽快更新，补丁链接如下：

https://www.tongda2000.com/download/sp2019.php

疫情肆虐，战“疫”有我，嘉诚安全在行动！

疫情期间，嘉诚公司网络安全事业部为客户提供7*24h实时安全监测和防护服务，对政府、医疗、金融等行业疫情一线的客户进行重点监测，及时推送安全风险提示信息及安全加固整改建议，重点保障客户应急指挥系统、视频会议系统、即时通讯等系统的有效运行，嘉诚公司与客户共同作战，网络安全事业部全员在岗，为广大疫情一线用户提供安全应急及安全咨询服务。

欢迎致电：400-004-1995、13756909388、18626682470。

原文始发于微信公众号（嘉诚安全）：通达OA任意用户登录漏洞安全风险通告