致远互联旗下致远 A8+协同管理软件,存在远程 Getshell 漏洞。作为中国协同管理软件及云服务领先厂商,致远 A8+协同管理软件在国内拥有央企、大型公司都有广大的应用。
验证版本:
A8+V7.0 SP3、A8+ V6.1 SP2
(V6.1 SP1 验证尚不存在,其他版本未验证)
触发条件:没有限制。
上述版本存在Getshell 漏洞。系统某处在无需登录情况下可直接上传任意文件,攻击者一旦上传精心构造的后门文件即可 Getshell,获得目标服务器的权限。目前利用代码已在野外公开,官方提供的补丁程序仍然可利
用。
缓解措施:
1.通过 ACL 禁止外网对“/seeyon/htmlofficeservlet”路径的访问。
2、官方补丁
请尽快联系致远官方,索要官方补丁程序。
POC
版权声明
本文仅代表作者观点,不代表黑白网立场。
如文章侵犯了您的权利,请通过邮箱联系我们删除。详情查看:版权纠纷E-Mail:server@heibai.org
61条评论
nice
@Lzers 谢谢啊 谢谢啊
@Lzers 谢谢啊谢谢啊
nice哦
check
学习一下poc
学习一下poc
good job
谢谢大佬啊
学习一下poc
谢谢大表哥的漏洞验证脚本
谢谢大表哥的漏洞验证脚本
@fengshengxie 学习一下
1111
谢谢大表哥的漏洞验证脚本
谢谢大佬的poc
so good
跟大佬学习
学习学习
跟大佬学习
学习交流,膜拜大佬
GOOD
学习交流,膜拜大佬!!
学习交流,膜拜大佬
你好呀今天也是充满希望的一天呐
学习学习
看一下
生猛
知识啊。学习学习
谢谢大佬的POC
谢谢大表哥的脚本
谢谢 谢谢分享
好的,我看下,谢谢~
我测试一下
555666
希望大佬的POC可以派的上用场!
看看怎么构造的。
nice,kankan
nice,学习一下
6p,谢谢大佬POC
支持一下
学习一下。
xueyix
学一下
谢谢····
6666
nice
希望大佬的POC可以派的上用场!
学习交流,膜拜大佬
学习一下
看看POC,学习一下!
学习一下
大表哥
膜拜
可以的大佬
大佬
厉害
刘辟啊!!
跟大佬学习
学习一下POC
学习
发表评论