一、漏洞概述
北京通达信科科技有限公司是中国兵器工业信息中心的全资子公司,简称通达信科。是一支以管理软件研发、实施、服务与咨询为主营业务的高科技企业,隶属于世界500强企业中国兵器工业集团公司。作为国内协同管理软件行业内唯一的央企单位,通达信科将自身定位于中国协同OA软件的领跑者, 中国优秀的云应用方案提供商。通达信科建立了一支以年轻博士、硕士、高级工程师为核心的专业技术团队, 具备雄厚的研发实力和强大的项目实施及售后服务能力,是一支素质卓越、服务热情、勤勉奋进的优秀科研团队。一直以来,通达信科坚持秉承央企的信誉、外企的管理、民企的效率,通达信科人具备"能打大仗,敢打硬仗"的项目执行力, 是国内协同管理软件领域内鲜有的专家级领军团队。
2020年3月13号通达OA论坛发送紧急补丁
文件上传加文件包含导致远程命令执行
二、影响范围
V11版
2017版
2016版
2015版
2013增强版
2013版:
三、漏洞等级
高危
四、漏洞验证
V11版:http://cdndown.tongda2000.com/oa/security/2020_A1.11.3.exe 2017版:http://cdndown.tongda2000.com/oa/security/2020_A1.10.19.exe 2016版:http://cdndown.tongda2000.com/oa/security/2020_A1.9.13.exe 2015版:http://cdndown.tongda2000.com/oa/security/2020_A1.8.15.exe 2013增强版:http://cdndown.tongda2000.com/oa/security/2020_A1.7.25.exe 2013版:http://cdndown.tongda2000.com/oa/security/2020_A1.6.20.exe