1、产品简介
通达OA(Office Anywhere网络智能办公系统)是由北京通达信科科技有限公司自主研发的协同办公自动化软件,是与中国企业管理实践相结合形成的综合管理办公平台。包括流程审批、行政办公、日常事务、数据统计分析、即时通讯、移动办公等,帮助广大用户降低沟通和管理成本,提升生产和决策效率。
2、漏洞概述
通达OA v11.9 getdata接口存在任意命令执行漏洞,攻击者通过漏洞可以执行服务器任意命令控制服务器权限。
3、影响范围
通达OA <= v11.9
4、复现环境
Windows Server 2019搭建 通达OA v11.9 环境
安装包下载地址:https://cdndown.tongda2000.com/oa/2019/TDOA11.9.exe
下载后直接双击进行安装,然后设置访问地址和端口就安装好了
5、漏洞复现
访问漏洞环境,burp抓包发送Repeater模块进行复现
<