漏洞描述
通达OA(Office Anywhere网络智能办公系统)是自主研发的协同办公自动化软件,是适合各个行业用户的综合管理办公平台。
近日,通达OA中一处SQL注入漏洞的细节于互联网公开
漏洞危害等级:中危。
通达OA 中存在SQL注入漏洞,由于对用户输入过滤不足,拥有系统登录权限的攻击者可以利用general/hr/manage/staff_reinstatement/delete.php 接口的$REINSTATMENT_ID参数执行SQL注入攻击,从而获取数据库中的敏感信息。
影响版本:
通达OA<11.10
修复建议:
正式防护方案:通达OA官方已发布升级修复漏洞,用户请尽快更新至安全版本
安全版本:
通达OA >=11.10
通达OA最新版本下载链接:
https://www.tongda2000.com/download/sp2022.php
通达OA为商业软件,用户可联系厂商获取协助,并做好服务器安全策略配置。
售后电话:400-818-0505
售后官网:https://www.tongda2000.com/buy/index.php
临时防护方案:
1.加强系统和网络的访问控制,修改防火墙策略,不将非必要服务暴露于公网
2.在公网部署的系统,通过WAF限制外网对"general/hr/manage/staff_reinstatement/delete.php"路径的访问
3.定期对服务器上的网站后门文件进行及时查杀。
原文始发于微信公众号(飓风网络安全):【漏洞预警】通达OA delete.php SQL注入漏洞CVE-2023-5019
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论