O2OA invoke 后台远程命令执行漏洞 CNVD-2020-18740

漏洞描述

O2OA是一款开源免费的企业及团队办公平台,提供门户管理、流程管理、信息管理、数据管理四大平台,集工作汇报、项目协作、移动OA、文档分享、流程审批、数据协作等众多功能,满足企业各类管理和协作需求。 O2OA系统invoke 接口存在远程代码执行漏洞。攻击者可利用漏洞执行任意代码。

漏洞影响

O2OA

网络测绘

title=="O2OA"

漏洞复现

登录页面

【漏洞库】O2OA系统-LMLPHP

默认密码登录后台 xadmin/o2

【漏洞库】O2OA系统-LMLPHP

在应用中找到服务管理,创建接口代码执行系统命令

<
02-05 13:26