通达OA介绍

通达OA（Office Anywhere网络智能办公系统）是由北京通达信科科技有限公司自主研发的协同办公自动化软件，是与中国企业管理实践相结合形成的综合管理办公平台。

通达OA为各行业不同规模的众多用户提供信息化管理能力，包括流程审批、行政办公、日常事务、数据统计分析、即时通讯、移动办公等，帮助广大用户降低沟通和管理成本，提升生产和决策效率。该系统采用领先的B/S(浏览器/服务器)操作方式，使得网络办公不受地域限。通达Office Anywhere采用基于WEB的企业计算，主HTTP服务器采用Apache服务器，性能稳定可靠。数据存取集中控制，避免了数据泄漏的可能。提供数据备份工具，保护系统数据安全。多级的权限控制，完善的密码验证与登录验证机制更加强了系统安全性。

漏洞描述

近日，发现通达OA后台存在多个SQL注入漏洞的信息。漏洞利用需要具备普通用户权限，攻击者可通过拼接SQL语句，来执行恶意的SQL代码， 或获取数据库敏感数据。

影响范围

目前受影响的通达OA版本：

后台SQL注入（一）：通达OA < 11.6版本

后台SQL注入（二）、（三）：通达OA <= V11.7 版本

修复建议

对于SQL注入漏洞（一），官方V11.6 或以上版本已修复该漏洞，请受影响的用户更新到最新版本；对于SQL注入漏洞（二）、（三），官方暂未发布修复补丁，请持续关注官方更新公告：

https://www.tongda2000.com/download/sp2019.php