OA系统漏洞记录_金和oa漏洞

OA系统简介

OA系统（Office Automation），即办公自动化系统，是一种应用于办公领域的新型无纸化办公系统。它利用计算机、通信等现代化技术来数字化地创建、收集、存储、处理办公任务所需的各种信息，代替办公人员传统的部分手动或重复性业务活动，最大限度地提高工作效率和质量、改善工作环境。

技术平台：

随着OA应用内容的不断扩展，OA技术也在不断发展，从过去的BASIC+文件系统到VB+ACCESS、DELPHI+ORACLE、PHP+mysql、JAVA+mysql，基本形成了三大主流技术：

1、.net+关系型数据库（RDB）技术

2、SUN的JAVA+RDB技术

3、IBM Lotus Domino技术

4、Suo-基于saas的j2ee服务

OA系统的特点：

一个平台：

统一的基础管理平台，实现用户数据统一管理、权限统一分配、身份统一认证。

两个门户：

统一规划门户网站群和协同办公平台，将外网信息维护、客户服务、互动交流和日常工作紧密结合起来，有效提高工作效率。

集团化管理：

应用对象覆盖多级机构，实现“大OA套小OA”的应用模式。

四大应用：

工作流程、知识管理、沟通交流和辅助办公四大核心应用。

OA系统十大品牌

泛危weaver

       泛微可能是目前品牌度最高的OA系统，他从产品包装到市场推广的各个环节都做得非常完善，可以说是OA厂商中市场运作能力最强的一家公司。

致远互联

       北京致远互联软件股份有限公司（简称：致远互联），是一家集产品的设计、研发、销售及服务为一体的企业，为客户提供专业的协同管理软件产品、解决方案、平台及云服务 ，是中国领先的协同管理软件提供商。

        致远互联秉持“以人为中心”的产品设计理念，坚持平台化产品发展路线，基于“组织行为管理”理论，运用新一代信息技术，自主研发了V5协同管理平台，开发了面向中小企业组织的A6+产品，面向中大型企业和集团性企业组织的A8+产品，以及面向政府组织及事业单位的G6产品。

通达信科

        通达信科隶属于世界500强企业。

        通达信科属于中国兵器工业集团公司，是以管理软件研发、实施、服务与咨询为主营业务的高科技企业，研发了通达OA网络智能办公系统、通达OA集团版、通达OA安全版、通达OA国际版、通达综合管控与决策支持平台和通达督查督办系统等。

蓝凌Landray

       蓝凌软件全称深圳市蓝凌软件股份有限公司，于2001年在深圳科技园成立。蓝凌是国内知名的大平台OA服务商和国内领先的知识管理解决方案提供商，是专业从事组织的知识化咨询、软件研发、实施、技术服务的国家级高新技术企业。

华天动力

        大连华天企业有限公司，是国内首批从事协同软件研发的企业，先后获得"最具创新价值协同软件厂商"、"中国软件影响力百强企业"、"推荐协同管理软件产品奖"等荣誉称号。

万户网络

金和网络

        北京金和网络股份有限公司（以下简称“金和网络”），曾用名金和软件，是一家领先的互联网及移动互联网技术供应商、服务商。二十七年来，公司致力于精确管理、智慧监管、社会智理的研究、实践和传播，创立了“精确管理思想体系”、“智慧监管体系”、“社会智理体系”。

云之家

       云之家是中国企业移动互联网领域的领导品牌。它通过移动办公与团队协作APP应用，打破部门壁垒与地域限制，凝聚企业共识，激发员工创新，提高协作效率。

        云之家产品以组织、消息、社交为核心，通过应用中心接入第三方合作伙伴，向企业与用户提供丰富的移动办公应用，同时可连接企业现有业务(ERP)，帮助企业/团队打破部门与地域限制，提高沟通与协作效率，帮助中国企业快速实现移动化转型，知名用户包括万科、海尔、乐视、韩束等。

慧点科技

       北京慧点科技有限公司（简称慧点科技）于1998年创立，是中国领先的管理软件与服务提供商。主营业务为向大型企业集团及政府部门提供GRC（Governance、Risk and Compliance，即管控、风险与合规遵从）企业管控软件的开发、实施及服务。

        作为国内率先引入GRC管理理念的IT企业，慧点科技打造了以“管控·风险·监管”为核心的管理软件与服务体系。成功服务了以中国移动、中国石化、中国海油、中国五矿、神华集团等近千家大型客户。

友空间

OA系统的漏洞

泛微OA

泛微OA E-Cology远程代码执行漏洞

漏洞危害

WorkflowServiceXml接口可被未授权访问，攻击者调用该接口，可构造特定的HTTP请求绕过泛微本身一些安全限制从而达成远程代码执行。

影响范围

E-cology <= 9.0 并且未更新官网四月份补丁的泛微OA

泛微OA SQL注入漏洞(2019-10-18)

漏洞危害

攻击者可以通过精心构造的语句进行注入攻击，利用该漏洞的攻击者可以获得服务器数据。

影响范围

泛微OA V8 V9版本

致远OA（Seeyon）

致远OA A8 htmlofficeservlet getshell漏洞

致远OA A8-v5 任意用户密码修改

通达OA（TongDa OA）

V11.7后台SQL注入漏洞

漏洞影响：通达oaV11.7

任意文件删除&文件上传GETSHELL漏洞

影响版本：

通达OA V11.6

文件包含&文件上传Getshell

影响版本：

通达OA V11

通达OA 2017

通达OA 2016

通达OA 2015

通达OA 2013

通达OA版本<v11.5&11.7（可shell）任意用户登陆漏洞

影响版本：

通达OA < V 11.3 

通达OA 2017

蓝凌OA

前台SSRF到RCE

EKP后台SQL注入漏洞 CNVD-2021-01363

影响产品：数字OA(EKP)

任意文件上传

逻辑缺陷漏洞 CNVD-2021-47668

---

......未完待续......