漏洞虽小_关于致远OA旧版本用户存在安全隐患应及时进行修复的风险提示_0基础渗透入门教程

漏洞虽小_关于致远OA旧版本用户存在安全隐患应及时进行修复的风险提示_0基础渗透入门教程

2021年4月10日，国家信息安全漏洞共享平台（CNVD）发现致远OA旧版本的用户由于未及时更新厂商补丁，存在安全隐患。由于致远OA软件旧版本（V8.0以下，V8.0于2020年6月11日发布）集成的组件存在反序列化漏洞，攻击者利用该漏洞，可在未授权的情况下获取目标服务器权限，实现服务器的远程代码执行。目前，漏洞利用细节已小范围公开，厂商已于2020年9月发布补丁完成修复。

一、风险情况分析

致远OA是由北京致远互联软件股份有限公司（以下简称致远公司）开发的一款协同办公产品，构建了面向中大型、集团型组织机构的数字化协同运营平台。该系统基于组织管理的基础理论设计，支持大型组织的发展和变化，解决了组织结构、业务重组、组织流程再造等结构治理相对应的问题，满足集团战略管控、营运管控和财务管控的战略协同行为和垂直业务管控的要求。

致远OA软件旧版本（V8.0以下，V8.0于2020年6月11日发布）集成的组件存在反序列化漏洞。是阿里巴巴公司研发的一款开源JSON解析库，支持Java对象至JSON字符串之间的格式转换。未经身份验证的攻击者利用上述漏洞，可通过发送精心构造的恶意网络请求，获取目标服务器权限，实现服务器的远程代码执行。致远公司已于2020年6月11日完成对集成组件的漏洞修复，并在V8.0版本之后移除该组件。

二、风险影响范围

组件漏洞影响的致远产品版本包括：

致远 OA V7.1、V7.1SP1

致远 OA V7.0、V7.0SP1、V7.0SP2、V7.0SP3

致远 OA V6.1、V6.1SP1、V6.1SP2

致远 V6.0及V6.0SP1

致远 V5.6及V5.6SP1

三、漏洞处置建议

致远公司已于2020年9月在官网发布漏洞公告（#/?type=%E5%AE%89%E5%85%A8%E8%A1%A5%E4%B8%81&id=12），更新补丁完成漏洞修复，并联系各客户进行主动告知。

使用上述涉及版本的用户可登录致远互联服务网站，获取修复程序安全补丁包，并按照相应操作手册进行漏洞修复，也可通过400服务电话（4）、邮件（@.com）或各地区致远分公司联系致远技术咨询，由致远运维服务工程师提供上门或远程技术服务。 CNVD建议用户立即通过官方网站安装最新补丁，进行漏洞修复。使用致远OA系统构建网站的信息系统运营者请进行自查，发现存在漏洞后，及时升级或联系致远公司。

~

网络安全学习，我们一起交流

~