关于通达OA 后台多个SQL注入漏洞的预警通告
日期:2020-08-23 11:06:26  发布人:教育信息化建设处  浏览量:14

通达OA介绍

通达OAOffice Anywhere网络智能办公系统)是由北京通达信科科技有限公司自主研发的协同办公自动化软件,是与中国企业管理实践相结合形成的综合管理办公平台。

通达OA为各行业不同规模的众多用户提供信息化管理能力,包括流程审批、行政办公、日常事务、数据统计分析、即时通讯、移动办公等,帮助广大用户降低沟通和管理成本,提升生产和决策效率。该系统采用领先的B/S(浏览器/服务器)操作方式,使得网络办公不受地域限。通达Office Anywhere采用基于WEB的企业计算,主HTTP服务器采用Apache服务器,性能稳定可靠。数据存取集中控制,避免了数据泄漏的可能。提供数据备份工具,保护系统数据安全。多级的权限控制,完善的密码验证与登录验证机制更加强了系统安全性。

漏洞描述

近日,发现通达OA后台存在多个SQL注入漏洞的信息。漏洞利用需要具备普通用户权限,攻击者可通过拼接SQL语句,来执行恶意的SQL代码, 或获取数据库敏感数据。

影响范围

目前受影响的通达OA版本:

后台SQL注入(一):通达OA < 11.6版本

后台SQL注入(二)、(三):通达OA <= V11.7 版本

修复建议

对于SQL注入漏洞(一),官方V11.6 或以上版本已修复该漏洞,请受影响的用户更新到最新版本;对于SQL注入漏洞(二)、(三),官方暂未发布修复补丁,请持续关注官方更新公告:

https://www.tongda2000.com/download/sp2019.php

 

核发:0 点击数:14 收藏本页
 

联系电话:023-42464987 重庆人文科技学院教育信息化建设处 版权所有