CNCERT：关于致远OA-A8系统存在远程命令执行漏洞的安全公告

安全公告编号:CNTA-2019-0023

2019年6月26日，国家信息安全漏洞共享平台（CNVD）收录了致远OA-A8系统远程命令执行漏洞（CNVD-2019-19299）。攻击者利用该漏洞，可在未授权的情况下上传任意文件，实现远程命令执行。目前，漏洞原理和利用工具已扩散，厂商已于26日晚10时完成修复并向客户发出补丁，建议用户立即更新或采取临时修补方案进行防护。

一、漏洞情况分析

致远OA-A8是由北京致远互联软件股份有限公司（以下简称致远公司）开发的一款协同管理软件，构建了面向中大型、集团组织的数字化协同运营平台。致远OA-A8系统基于组织管理的基础理论设计，支持大型组织的发展和变化，解决了组织结构、业务重组、组织流程再造等结构治理相对应的问题，满足集团战略管控、营运管控和财务管控的战略协同行为和垂直业务管控的要求。

该系统的漏洞点在于致远OA-A8系统的Servlet接口暴露，安全过滤处理措施不足，使得用户在无需认证的情况下实现任意文件上传。攻击者利用该漏洞，可在未授权的情况下，远程发送精心构造的网站后门文件，从而获取目标服务器权限，在目标服务器上执行任意代码。

CNVD对该漏洞的综合评级为“高危”。

二、漏洞影响范围

漏洞影响的产品版本包括：

致远A8-V5协同管理软件 V6.1sp1

致远A8+协同管理软件V7.0、V7.0sp1、V7.0sp2、V7.0sp3

致远A8+协同管理软件V7.1

CNVD秘书处对致远OA-A8系统在我国境内的分布情况进行统计，结果显示我国境内的致远OA-A8系统数量约为3.1万。综合CNVD技术支撑单位报送、CNVD秘书处主动检测的结果显示，我国境内共有334台服务器存在漏洞，受影响比例约为1.1%。我平台已将检测结果与致远公司共享，协助其开展用户侧修复相关工作。

三、漏洞处置建议

目前，致远公司已发布补丁完成修复，并成立专项小组，对涉及以上版本的用户进行排查。补丁和更新信息获取方式如下：

1、登录致远互联服务网站（http://support.seeyon.com）获取补丁；

2、关注“致远互联微服务”公众号，及时获取安全更新通知；

3、如有技术问题可联系致远公司，Email：security@seeyon.com，电话：400-700-8822。

临时修补方案如下：

1、 配置URL访问控制策略；

2、 在公网部署的致远A8+服务器，通过ACL禁止外网对“/seeyon/htmlofficeservlet”路径的访问；

3、 对OA服务器上的网站后门文件进行及时查杀。

建议使用致远OA-A8系统的信息系统运营者进行自查，发现存在漏洞后，按照以上方案及时修复。

另，致远OA在部分企事业单位的内网办公系统应用也较为广泛，建议及时进行自查和修复。

感谢北京致远互联软件股份有限公司、北京知道创宇信息技术股份有限公司（404实验室）、天津市国瑞数码安全系统股份有限公司（零点实验室）为本报告提供的技术支持。

声明：本文来自CNVD漏洞平台，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。