【安全通报】通达OA任意文件上传配合文件包含导致的RCE

近日，有安全研究人员对外表示（亚信安全），前几日 通达OA官方在其官方论坛披露了通达OA用户服务器遭受勒索病毒攻击事件其实和某个0day漏洞有关。 漏洞类型为任意文件上传，而且受影响的版本存在文件包含。被授权的远程攻击者可以通过精心构造的请求进行文件包含，触发远程代码执行。 北京通达信科科技有限公司是中国兵器工业信息中心的全资子公司，简称通达信科。 是一支以管理软件研发、实施、服务与咨询为主营业务的高科技企业，隶属于世界500强企业中国兵器工业集团公司。 作为国内协同管理软件行业内唯一的央企单位，通达信科将自身定位于中国协同OA软件的领跑者， 中国优秀的云应用方案提供商。 ——通达官网 概况.



Source link