首页 安全文摘 漏洞分析 正文

通达OA < 11.5任意用户登录漏洞分析

背景近期,安恒Zionlab团队通过监控发现通达OA官网于2020年04月17日发布了最新11.5版本。产品更新说明中只提示修复了已知的若干问题,但经过团队成员补丁对比之后,发现官方修复了一处任意用户登录漏洞。漏洞危害未经授权的攻击者可以通过构造进行任意用户登录(包括admin),登录之后可进一步上传恶意文件控制网站服务器。影响范围通达OA < 11.


背景

近期,安恒Zionlab团队通过监控发现通达OA官网于2020年04月17日发布了最新11.5版本。产品更新说明中只提示修复了已知的若干问题,但经过团队成员补丁对比之后,发现官方修复了一处任意用户登录漏洞


漏洞危害

未经授权的攻击者可以通过构造进行任意用户登录(包括admin),登录之后可进一步上传恶意文件控制网站服务器


影响范围

通达OA < 11.5版本


技术分析

补丁对比修改了如下文件:

通达OA < 11.5任意用户登录漏洞分析 安全文摘 漏洞分析  第1张

跟进文件源码

通达OA < 11.5任意用户登录漏洞分析 安全文摘 漏洞分析  第2张

代码第14行从redis里取标识id,判断是否存在,不存在则退出。


代码第28行存在严重逻辑错误,因为变量UID为攻击者可控,攻击者可赋值变量UID为1,从而控制该SQL语句返回的结果为USER表中UID为1的用户信息(默认UID为1的用户是管理员admin)。

通达OA < 11.5任意用户登录漏洞分析 安全文摘 漏洞分析  第3张

代码第180行将查询到的用户信息进行相应的Session赋值,因此攻击者只需要绕过代码第14行的redis验证,便可通过伪造UID的值来达到登录任意用户的目的。

      

跟进另一个文件

通达OA < 11.5任意用户登录漏洞分析 安全文摘 漏洞分析  第4张

代码第12行随机生成了一串登录的标识id,并在第35行通过set_cache方法将该标识id插入到redis缓存中,最重要的是在第37行将该标识id进行了输出。


POC

通达OA < 11.5任意用户登录漏洞分析 安全文摘 漏洞分析  第5张

通达OA < 11.5任意用户登录漏洞分析 安全文摘 漏洞分析  第6张

 

修复建议

官方已发布最新修正版本,请及时更新补丁:https://www.tongda2000.com/download/sp2019.php

目前,安恒APT预警平台、远程安全评估web扫描模块、网站安全监测平台等产品已支持对该漏洞的检测,已购买产品的客户可以通过在线升级的方式更新最新漏洞策略库进行自查。

文由ZionLab 安恒信息应急响应中心

海报

本文转载自互联网,如有侵权,联系删除

转载请注明本文地址:https://heibai.org.cn/1730.html

相关推荐

从偶遇Flarum开始的RCE之旅

从偶遇Flarum开始的RCE之旅

背景近期,安恒Zionlab团队通过监控发现通达OA官网于2020年04月17日发布了最新11.5版本。产品更新说明中只提示修复了已知的...

WEB安全 2个月前 (08-21) 0 7087

2022年蓝队初级护网总结

2022年蓝队初级护网总结

背景近期,安恒Zionlab团队通过监控发现通达OA官网于2020年04月17日发布了最新11.5版本。产品更新说明中只提示修复了已知的...

安全文摘 2个月前 (08-21) 0 3778

发布评论

ainiaobaibaibaibaobaobeishangbishibizuichiguachijingchongjingdahaqiandaliandangaodw_dogedw_erhadw_miaodw_tuzidw_xiongmaodw_zhutouganbeigeiliguiguolaiguzhanghahahahashoushihaixiuhanheixianhenghorse2huaixiaohuatonghuaxinhufenjiayoujiyankeaikeliankouzhaokukuloukunkuxiaolandelinileimuliwulxhainiolxhlikelxhqiuguanzhulxhtouxiaolxhwahahalxhzanningwennonuokpinganqianqiaoqinqinquantouruoshayanshengbingshiwangshuaishuijiaosikaostar0star2star3taikaixintanshoutianpingtouxiaotuwabiweifengweiquweiwuweixiaowenhaowoshouwuxiangjixianhuaxiaoerbuyuxiaokuxiaoxinxinxinxinsuixixixuyeyinxianyinyueyouhenghengyuebingyueliangyunzanzhajizhongguozanzhoumazhuakuangzuohenghengzuoyi
感谢您的支持