0x00 漏洞编号

• 暂无

0x01 危险等级

• 高危
  

0x02 漏洞概述

致远互联OA是数字化构建企业数字化协同运营中台，面向企业各种业务场景提供一站式大数据分析解决方案的协同办公软件。

0x03 漏洞详情

漏洞类型：文件上传

影响：获取服务器权限

简述：在致远互联OA接口fileUpload.do接口处存在文件上传漏洞，未经身份验证的远程攻击者可通过目录遍历的方式绕过上传接口限制，并利用menu.do接口替换上传文件的fileid值实现webshell上传到服务器，获取服务器权限。 

0x04 影响版本

• 致远A8 V5.x

• 致远A6 V5.x

0x05 POC

https://blog.csdn.net/qq_41904294/article/details/137520731

仅供安全研究与学习之用，若将工具做其他用途，由使用者承担全部法律及连带责任，作者及发布者不承担任何法律及连带责任。

0x06 修复建议

目前官方已发布漏洞修复版本，建议用户升级到安全版本：

https://www.seeyon.com/

原文始发于微信公众号（浅安安全）：漏洞预警 | 致远互联OA文件上传漏洞