通达OA SQL注入漏洞(CVE-2023-4166)
日期:2023-08-07 10:38:04 发布人:信息化建设中心 浏览量:529
漏洞概要
|
漏洞名称 |
通达OA SQL注入漏洞(CVE-2023-4166) |
|
发布时间 |
2023年8月7日 |
|
组件名称 |
通达OA |
|
影响范围 |
通达OA v11 < 11.10 |
|
漏洞类型 |
远程代码执行 |
|
利用条件 |
1、用户认证:否 2、前置条件:无 3、触发方式:远程 |
|
综合评价 |
<综合评定利用难度>:容易,无需授权即可执行 SQL 语句。 <综合评定威胁等级>:中危,能造成信息泄露。 |
|
官方解决方案 |
已发布 |
漏洞分析
组件介绍
通达OA(Office Anywhere网络智能办公系统)是由北京通达信科科技有限公司自主研发的协同办公自动化软件,提供信息化管理能力,包括流程审批、行政办公、日常事务、数据统计分析、即时通讯、移动办公等,帮助广大用户降低沟通和管理成本,提升生产和决策效率。
漏洞描述
2023年8月7日,深信服安全团队监测到一则通达OA组件存在SQL漏洞的信息,漏洞编号:(CVE-2023-4166),漏洞威胁等级:中危。
该漏洞是由于路由delete_log.php的参数DELETE_STR缺少过滤,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行SQL注入攻击,最终造成服务器敏感性信息泄露。
影响范围
目前受影响的通达OA版本:
通达OA v11 < 11.10
解决方案
修复建议
官方修复建议
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。