【漏洞库】O2OA系统

已于 2024-02-04 19:38:17 修改
阅读量677 收藏 1
点赞数 2
分类专栏: 漏洞库(需要付费) 文章标签: 安全 web安全
于 2024-02-04 16:10:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46301214/article/details/136027475
版权
本文详细介绍了O2OA系统中的两个安全漏洞:invoke后台远程命令执行漏洞CNVD-2020-18740和open后台任意文件读取漏洞。攻击者可以利用这些漏洞执行任意代码或读取任意文件,影响O2OA系统的安全性。
摘要由CSDN通过智能技术生成

O2OA invoke 后台远程命令执行漏洞 CNVD-2020-18740

漏洞描述

O2OA是一款开源免费的企业及团队办公平台,提供门户管理、流程管理、信息管理、数据管理四大平台,集工作汇报、项目协作、移动OA、文档分享、流程审批、数据协作等众多功能,满足企业各类管理和协作需求。 O2OA系统invoke 接口存在远程代码执行漏洞。攻击者可利用漏洞执行任意代码。

漏洞影响

O2OA

网络测绘

title=="O2OA"

漏洞复现

登录页面

img

默认密码登录后台 xadmin/o2

img

在应用中找到服务管理,创建接口代码执行系统命令


                

        

        

    




        

            

                

                

                了解本专栏
                
                
                  
                订阅专栏 解锁全文
                 
            

        

    

      

        

            

              
                
                  星盾网安
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                    2
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    1
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
                
  • 
                  
                    打赏
                    
                  
                  
    打赏
    
                
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          

                

                        订阅专栏
                










                



	

		

			

				
					
O2OA RCE 远程命令执行漏洞复现(CVE-2022-22916)

				
			

			

				

					0xSec
				

				

					01-13
					
					2206
					
				

			

		

		

			
				
O2OA是一款Java开源企业信息化建设平台 ,包括流程管理、门户管理、信息管理、数据管理和服务管理五大平台,可以极大程度上减化企业信息化建设成本和业务应用开发难度。O2OA是一个基于 J2EE 分布式架构,集成移动办公、智能办公,支持私有化部署,自适应负载能力的,能够很大程度上节约企业软件开发成本,基于AGPL协议开放源代码的企业信息化系统需求定制开发平台解决方案。通过/x_program_center/jaxrs/invoke 发现 020A v6.4.7 包含一个远程代码执行(RCE)漏洞

			
		

	



                

              
                



	

		

			

				
					
兰德网络-O2OA系统存在默认口令漏洞

				
			

			

				

					nnn2188185的博客
				

				

					04-12
					
					777
					
				

			

		

		

			
				
浙江兰德纵横网路技术股份有限公司O2OA系统存在默认口令漏洞

			
		

	



                


  
              

                


	

		

			

				
					
O2OA CVE-2022-22916

				
			

			

				

					Purpose_7的博客
				

				

					11-01
					
					1093
					
				

			

		

		

			
				
O2OA CVE-2022-22916

			
		

	





	

		

			

				
					
CVE-2022-22916

					
热门推荐

				
			

			

				

					LiBai'S BLOG
				

				

					05-24
					
					2万+
					
				

			

		

		

			
				
CVE-2022-22916
CVE-2022-22916,O2OA RCE 远程命令执行

O2OA RCE 远程命令执行(CVE-2022-22916)
O2OA是一个基于J2EE分布式架构,集成移动办公、智能办公,支持私有化部署,自适应负载能力的,能够很大程度上节约企业软件开发成本的基于AGPL协议开放源代码的企业信息化系统需求定制开发平台解决方案。 通过 /x_program_center/jaxrs/invoke 发现 O2OA v6.4.7 包含一个远程代码执行 (RCE) 漏洞。
第一步:
登

			
		

	



		

			
		



	

		

			

				
					
RCE远程命令、代码执行漏洞

				
			

			

				

					qq_45680080的博客
				

				

					11-13
					
					1450
					
				

			

		

		

			
				
RCE(remote command/code execute)概述
RCE漏洞,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。
远程系统命令执行
一般出现这种漏洞,是因为应用系统从设计上需要给用户提供指定的远程命令操作的接口
比如我们常见的路由器、防火墙、入侵检测等设备的web管理界面上
一般会给用户提供一个ping操作的web界面,用户从web界面输入目标IP,提...

			
		

	





	

		

			

				
					
O2OA(翱途)开发平台前端安全配置建议(一)

				
			

			

				

					liyi_hz2008的博客
				

				

					03-21
					
					1208
					
				

			

		

		

			
				
O2OA开发平台是一个集成了多种功能的开发环境,前端安全在其中显得尤为重要。前端是用户与平台交互的直接界面,任何安全漏洞都可能被恶意用户利用,导致用户数据泄露、非法操作或系统被攻击。因此,前端安全是确保整个系统安全的第一道防线。其次,随着技术的发展,攻击手段也日益复杂和隐蔽。跨站脚本攻击(XSS)、CORS攻击等安全问题层出不穷,这些攻击往往利用前端漏洞进行非法操作,窃取用户信息或破坏系统稳定性。因此,加强前端安全是防范这些攻击的必要手段。

			
		

	





	

		

			

				
					
O2OA开源OA系统-其他

				
			

			

				

					06-11
				

			

		

		

			
				
O2OA是基于J2EE架构,集成移动办公、智能办公,支持私有化部署,自适应负载能力的,能够很大程度上节约企业软件开发成本的基于AGPL协议开放源代码的企业信息化系统需求定制开发解决方案,对外提供专业的开发运维等...

			
		

	





	

		

			

				
					
O2OA开源OA系统 v5.2.3

				
			

			

				

					11-03
				

			

		

		

			
				
为您提供O2OA开源OA系统下载,O2OA是基于J2EE架构,集成移动办公、智能办公,支持私有化部署,自适应负载能力的,能够很大程度上节约企业软件开发成本的基于AGPL协议开放源代码的企业信息化系统需求定制开发解决方案...

			
		

	





	

		

			

				
					
O2OA开源OA系统 v5.3.3

				
			

			

				

					12-28
				

			

		

		

			
				
为您提供O2OA开源OA系统下载,O2OA是基于J2EE架构,集成移动办公、智能办公,支持私有化部署,自适应负载能力的,能够很大程度上节约企业软件开发成本的基于AGPL协议开放源代码的企业信息化系统需求定制开发解决方案...

			
		

	





	

		

			

				
					
O2OA开源OA系统 v5.2.5

				
			

			

				

					11-25
				

			

		

		

			
				
为您提供O2OA开源OA系统下载,O2OA是基于J2EE架构,集成移动办公、智能办公,支持私有化部署,自适应负载能力的,能够很大程度上节约企业软件开发成本的基于AGPL协议开放源代码的企业信息化系统需求定制开发解决方案...

			
		

	





	

		

			

				
					
O2OA开源OA系统 v5.3.5

				
			

			

				

					01-12
				

			

		

		

			
				
为您提供O2OA开源OA系统下载,O2OA是基于J2EE架构,集成移动办公、智能办公,支持私有化部署,自适应负载能力的,能够很大程度上节约企业软件开发成本的基于AGPL协议开放源代码的企业信息化系统需求定制开发解决方案...

			
		

	





	

		

			

				
					
O2OA开发平台实施入门指南

				
			

			

				

					liyi_hz2008的博客
				

				

					08-09
					
					720
					
				

			

		

		

			
				
O2OA(翱途)开发平台,是一款适用于协同办公系统开发与实施的基础平台,说到底,它也是一款快速开发平台。开发者可以基于平台提供的能力完成门户、流程、信息相关的业务功能开发。既然定位为开发平台,那么开发小伙伴们一些基础的开发能力也是必须要掌握的,本文从平台的安装部署和开发实施两个方向为大家罗列一下需要掌握的技术以及学习的路径,希望对大家有帮助。

			
		

	





	

		

			

				
					
O2OA开源免费开发平台:启用Eruda进行移动端调试

				
			

			

				

					liyi_hz2008的博客
				

				

					07-07
					
					363
					
				

			

		

		

			
				
O2OA平台启用Eruda进行移动端调试

Eruda 是一个专为前端移动端、移动端设计的调试面板,类似Chrome DevTools 的迷你版(没有chrome强大 这个是可以肯定的),其主要功能包括:捕获 console 日志、检查元素状态、显示性能指标、捕获XHR请求、显示本地存储和 Cookie信息、浏览器特性检测等等。

https://github.com/liriliri/eruda/blob/master/doc/README_CN.md

O2OA启用eruda

移动端页面加上debug

			
		

	





	

		

			

				
					
O2OA启用HTTPS(SSL)

				
			

			

				

					tangxl_99的博客
				

				

					03-04
					
					1191
					
				

			

		

		

			
				
启用HTTPS(SSL)



O2OA支持以SSL方式连接WEB服务器,应用服务器以及中心服务器,以获得更高的网络安全性。

一、WEB和应用服务器配置

1、文件位置:o2server/config/node_127.0.0.1.json, 如果目录里没有该文件,可以从o2server/configSample目录里COPY一个到config目录下。

直接修改o2server/config...

			
		

	





	

		

			

				
					
O2OA 稳定版 V4.2235 发布,功能性能等多方面优化升级

				
			

			

				

					liyi_hz2008的博客
				

				

					08-29
					
					296
					
				

			

		

		

			
				
O2OA是基于J2EE架构,集成移动办公、智能办公,支持私有化部署,自适应负载能力的,能够很大程度上节约企业软件开发成本的基于AGPL协议开放源代码的企业信息化系统需求定制开发解决方案,对外提供专业的开发运维等技术服务。


标题





O2OA平台主要能力介绍:

流程管理:全功能流程引擎。基于任务驱动,开放式服务驱动,高灵活性、扩展性,事件定义丰富。包含人工、自动、拆分、合并、并行、定...

			
		

	





	

		

			

				
					
O2OA开发相关教程天梯(更新日期:2019-02-28)

				
			

			

				

					liyi_hz2008的博客
				

				

					02-28
					
					1603
					
				

			

		

		

			
				
本博客主要为所有的技术文章做个天梯链接,方便大家查阅:

Java开源企业信息化平台O2OA服务器源码如何编译和使用?[Windows环境]Java开源企业信息化平台O2OA服务器架构示意图如何配置O2OA服务器来启用HTTPS(SSL)Java开源企业信息化平台O2OA,优化表单设计器,为企业开发提速O2OA将门户页面设置为系统登录页后彻底无法登录系统的解决方法O2OA 集成政务钉钉,实现人员同...

			
		

	





	

		

			

				
					
GPS叉车安全管理系统,远程监控管理车辆,保障叉车资产安全

					
最新发布

				
			

			

				

					jiuxindianzi的博客
				

				

					08-16
					
					440
					
				

			

		

		

			
				
九盾叉车监管系统利用GPS技术实现叉车全面监管,含IC卡指纹认证、无线实时测速、安全带报警器及小程序后台管理,提升安全性、效率及管理水平,降低运营成本。

			
		

	





	

		

			

				
					
php o2oa 无限制

				
			

			

				

					11-05
				

			

		

		

			
				
PHP O2OA 是一个开源的企业协同办公系统,它不仅仅是一个普通的办公软件,而是一个具备强大功能和无限扩展性的平台。它以 PHP 为基础,通过模块化的设计理念,可以根据不同企业的需求进行定制和扩展。

首先,PHP O2OA 提供了一系列功能丰富的模块,包括但不限于组织架构管理、人力资源管理、项目管理、任务管理、文件管理、知识管理、日程管理等。这些功能模块可以满足企业在协同办公、团队管理和信息共享等方面的需求,在提高工作效率和协同能力方面具有重要作用。

其次,PHP O2OA 具有无限制的扩展性。它采用了开放的插件式架构,通过自定义插件、模板和主题等方式,可以方便地进行二次开发和定制。企业可以根据自身需要,灵活添加或修改功能模块,以适应不同业务流程和工作需求。同时,PHP O2OA 还提供了开发者友好的 API 接口,有助于第三方开发者进行集成和二次开发。

此外,PHP O2OA 还具有良好的用户体验和界面设计。它采用了现代化的前端技术,界面美观、清晰而直观。用户可以轻松上手并进行操作,无需经过复杂的培训。

总之,PHP O2OA 是一个功能强大、可定制、易于扩展和操作简单的企业协同办公系统。它无限制地提供了丰富的功能和扩展能力,满足了各类企业的不同需求,帮助企业提升工作效率和团队协作能力。

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  





	
打赏作者

	

		

		
			
		
		

		

			
星盾网安

			
能花钱买到的知识,都不贵

		

	

	

			

	

	

    ¥1
    ¥2
    ¥4
    ¥6
    ¥10
    ¥20
	

	

		

			

				

					扫码支付:¥1
				

				

					

					
					获取中
					

				

				

					
					
					扫码支付
				

			

		

		

			
您的余额不足,请更换扫码支付或充值

			
打赏作者

		

	



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值