O2OA RCE 远程命令执行漏洞复现(CVE-2022-22916)

1、产品简介

 O2OA是一款Java开源企业信息化建设平台 ，包括流程管理、门户管理、信息管理、数据管理和服务管理五大平台，可以极大程度上减化企业信息化建设成本和业务应用开发难度。

2、漏洞概述

   O2OA是一个基于 J2EE 分布式架构，集成移动办公、智能办公，支持私有化部署，自适应负载能力的，能够很大程度上节约企业软件开发成本，基于AGPL协议开放源代码的企业信息化系统需求定制开发平台解决方案。通过/x_program_center/jaxrs/invoke 发现 020A v6.4.7 包含一个远程代码执行(RCE)漏洞。

3、影响范围

     020A v6.4.7

4、复现环境

       vulfocus在线靶场环境

 5、利用流程

  1、使用默认口令xadmin/o2登录后台，利用某大佬写的POC进行复现

     项目地址：