OA系统漏洞记录
OA系统简介
OA系统(Office Automation),即办公自动化系统,是一种应用于办公领域的新型无纸化办公系统。它利用计算机、通信等现代化技术来数字化地创建、收集、存储、处理办公任务所需的各种信息,代替办公人员传统的部分手动或重复性业务活动,最大限度地提高工作效率和质量、改善工作环境。
技术平台:
随着OA应用内容的不断扩展,OA技术也在不断发展,从过去的BASIC+文件系统到VB+ACCESS、DELPHI+ORACLE、PHP+mysql、JAVA+mysql,基本形成了三大主流技术:
1、.net+关系型数据库(RDB)技术
2、SUN的JAVA+RDB技术
3、IBM Lotus Domino技术
4、Suo-基于saas的j2ee服务
OA系统的特点:
一个平台:
统一的基础管理平台,实现用户数据统一管理、权限统一分配、身份统一认证。
两个门户:
统一规划门户网站群和协同办公平台,将外网信息维护、客户服务、互动交流和日常工作紧密结合起来,有效提高工作效率。
集团化管理:
应用对象覆盖多级机构,实现“大OA套小OA”的应用模式。
四大应用:
工作流程、知识管理、沟通交流和辅助办公四大核心应用。
OA系统十大品牌
泛危weaver
泛微可能是目前品牌度最高的OA系统,他从产品包装到市场推广的各个环节都做得非常完善,可以说是OA厂商中市场运作能力最强的一家公司。
致远互联
北京致远互联软件股份有限公司(简称:致远互联),是一家集产品的设计、研发、销售及服务为一体的企业,为客户提供专业的协同管理软件产品、解决方案、平台及云服务 ,是中国领先的协同管理软件提供商。
致远互联秉持“以人为中心”的产品设计理念,坚持平台化产品发展路线,基于“组织行为管理”理论,运用新一代信息技术,自主研发了V5协同管理平台,开发了面向中小企业组织的A6+产品,面向中大型企业和集团性企业组织的A8+产品,以及面向政府组织及事业单位的G6产品。
通达信科
通达信科隶属于世界500强企业。
通达信科属于中国兵器工业集团公司,是以管理软件研发、实施、服务与咨询为主营业务的高科技企业,研发了通达OA网络智能办公系统、通达OA集团版、通达OA安全版、通达OA国际版、通达综合管控与决策支持平台和通达督查督办系统等。
蓝凌Landray
蓝凌软件全称深圳市蓝凌软件股份有限公司,于2001年在深圳科技园成立。蓝凌是国内知名的大平台OA服务商和国内领先的知识管理解决方案提供商,是专业从事组织的知识化咨询、软件研发、实施、技术服务的国家级高新技术企业。
华天动力
大连华天企业有限公司,是国内首批从事协同软件研发的企业,先后获得"最具创新价值协同软件厂商"、"中国软件影响力百强企业"、"推荐协同管理软件产品奖"等荣誉称号。
万户网络
金和网络
北京金和网络股份有限公司(以下简称“金和网络”),曾用名金和软件,是一家领先的互联网及移动互联网技术供应商、服务商。二十七年来,公司致力于精确管理、智慧监管、社会智理的研究、实践和传播,创立了“精确管理思想体系”、“智慧监管体系”、“社会智理体系”。
云之家
云之家是中国企业移动互联网领域的领导品牌。它通过移动办公与团队协作APP应用,打破部门壁垒与地域限制,凝聚企业共识,激发员工创新,提高协作效率。
云之家产品以组织、消息、社交为核心,通过应用中心接入第三方合作伙伴,向企业与用户提供丰富的移动办公应用,同时可连接企业现有业务(ERP),帮助企业/团队打破部门与地域限制,提高沟通与协作效率,帮助中国企业快速实现移动化转型,知名用户包括万科、海尔、乐视、韩束等。
慧点科技
北京慧点科技有限公司(简称慧点科技)于1998年创立,是中国领先的管理软件与服务提供商。主营业务为向大型企业集团及政府部门提供GRC(Governance、Risk and Compliance,即管控、风险与合规遵从)企业管控软件的开发、实施及服务。
作为国内率先引入GRC管理理念的IT企业,慧点科技打造了以“管控·风险·监管”为核心的管理软件与服务体系。成功服务了以中国移动、中国石化、中国海油、中国五矿、神华集团等近千家大型客户。
友空间
OA系统的漏洞
泛微OA
泛微OA E-Cology远程代码执行漏洞
漏洞危害
WorkflowServiceXml接口可被未授权访问,攻击者调用该接口,可构造特定的HTTP请求绕过泛微本身一些安全限制从而达成远程代码执行。
影响范围
E-cology <= 9.0 并且未更新官网四月份补丁的泛微OA
泛微OA SQL注入漏洞(2019-10-18)
漏洞危害
攻击者可以通过精心构造的语句进行注入攻击,利用该漏洞的攻击者可以获得服务器数据。
影响范围
泛微OA V8 V9版本
致远OA(Seeyon)
致远OA A8 htmlofficeservlet getshell漏洞
致远OA A8-v5 任意用户密码修改
通达OA(TongDa OA)
V11.7后台SQL注入漏洞
漏洞影响:通达oaV11.7
任意文件删除&文件上传GETSHELL漏洞
影响版本:
通达OA V11.6
文件包含&文件上传Getshell
影响版本:
通达OA V11
通达OA 2017
通达OA 2016
通达OA 2015
通达OA 2013
通达OA版本
影响版本:
通达OA < V 11.3
通达OA 2017
蓝凌OA
前台SSRF到RCE
EKP后台SQL注入漏洞 CNVD-2021-01363
影响产品:数字OA(EKP)
任意文件上传
逻辑缺陷漏洞 CNVD-2021-47668
......未完待续......
影响版本:
通达OA < V 11.3
通达OA 2017
蓝凌OA
前台SSRF到RCE
EKP后台SQL注入漏洞 CNVD-2021-01363
影响产品:数字OA(EKP)
任意文件上传
逻辑缺陷漏洞 CNVD-2021-47668
......未完待续......