某和OA是一款基于Web的企业级办公自动化软件,它提供了一系列功能模块,包括文档管理、流程审批、人力资源管理、客户关系管理、项目管理等,涵盖了企业日常办公中的各个方面。和OA采用B/S架构,可以通过浏览器访问,具有易于使用、界面友好、可扩展性强等特点。某它支持多种数据库和操作系统平台,适用于不同规模和类型的企业使用。金和OA帮助企业实现信息化办公,提高工作效率,降低管理成本,提升企业竞争力。
ZoomEye语法:app:"金和OA"
- 文件类型白名单:限制上传文件的类型,只允许上传合法的文件格式。通过验证文件的扩展名或 MIME 类型,过滤掉不安全的文件类型。
- 文件名过滤:对上传文件的名称进行过滤,防止恶意文件名绕过检测。过滤掉特殊字符、路径分隔符等,确保文件名符合预期的格式。
升级修复方案:
官方已发布安全更新,建议访问官网联系售后升级补丁
原文始发于微信公众号(WebSec):(1day)某和OA某接口存在文件上传漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论