2023年05月15日,泛微官方发布10.57.2版本安全补丁。其中修复了两个漏洞,分别是信息泄漏和任意用户登录漏洞,两个漏洞可以被攻击者组合起来利用,从而能够使攻击者进入到系统后台。
影响版本
在 9.00.2110.01以及之前的版本是不受该漏洞的影响的,在 9.00.2206.02以及之后的版本可能会受到该漏洞的影响,而在这两个版本之间的版本,由于没有源码,是否受影响就不得而知了。
补丁版本:<10.57.2
漏洞复现
fofa语法:app="泛微-协同办公OA"
任意用户登录漏洞的利用前提是,需要已知一个存在于HrmResource表中的loginid。