通达OA action_crawler.php存在任意文件上传漏洞

威胁等级
严重
漏洞分类
任意文件上传
影响资产分类
其他,应用服务
检索条件
游客用户没有权限查看,请登录
DVB
DVB-2023-5773
CVE
-
CNVD
-
CNNVD
-

漏洞描述

可远程下载exp上传到服务器获取webshell,上传路径在poc和exp的第二个请求

漏洞详情

游客用户没有权限查看,请登录

修复建议

1、官方已修复该漏洞,请用户升级至11.x或者12.x最新版(2017未修复) 2、接口鉴权或者限制上传的文件类型