分享文章
蓝凌OA dataxml.jsp 前台绕过RCE漏洞
安全
2024-09-18 10:09
声明:该文章由作者(精主TV)发表,转载此文章须经作者同意并请附上出处(0XUCN)及本页链接。。
蓝凌OA系统的dataxml.jsp文件存在远程代码执行(RCE)漏洞。尽管该系统此前曾出现过后台代码执行漏洞,但此次漏洞更为严重,攻击者可以通过构造特定的POST请求,利用该漏洞将系统中的文件从/ekp/sys/common/目录移动到/resource/help/km/review/目录,随后在前台新的位置执行这些文件,从而达到前台远程代码执行的目的。此漏洞严重威胁系统的安全性和数据完整性,可能导致系统被完全控制。
漏洞危害
可能导致攻击者在服务器上执行任意命令,获取敏感数据、破坏系统文件、窃取用户凭证、进行拒绝服务攻击等。此外,攻击者还可能利用该漏洞进行权限提升,进一步控制整个服务器或网络。
修复方法
确保/sys/ui/sys_ui_component/sysUiComponent.do目录的移动权限严格受限,仅允许特定的授权用户或进程进行操作,以防止未经授权的目录移动行为。
确保只有授权用户可以访问和操作dataxml.jsp文件及相关功能,并严格控制文件的读写权限。
厂商已发布补丁修复此漏洞,漏洞内部编号为EKP-1216。请尽快联系厂商(蓝凌官网)获取补丁下载更新。
参考链接
https://xz.aliyun.com/t/15006
[超站]友情链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
排名
热点
搜索指数
- 1 博物馆的“千面新生” 7904292
- 2 病重男孩与全班拍毕业照次日离世 7808896
- 3 印度卫星发射失败:掌声刚停就下坠 7714314
- 4 6组数据透视中国市场强大吸引力 7619526
- 5 这是一张3000年前商朝王子的请假条 7523146
- 6 女生突发脑出血 症状是不会说英语 7426481
- 7 “谭木匠”940名员工有341人为残疾 7331093
- 8 男子遇夜跑大熊猫一开始以为是猪 7235358
- 9 数次地震不倒 联合国点赞中国黑科技 7142670
- 10 茅台股东大会前夜晚宴 茅台变蓝莓汁 7043236
微信
新浪微博
