全程云OA /OA/SMS/download.ashx 文件读取漏洞

影响产品：全程云-管理系统 CVSS：6.5 漏洞类型：文件读取 漏洞描述： 全程云OA是由全程云软件公司研发的一体化企业办公自动化（OA）管理平台，提供流程审批、文档管理、协同办公、消息通知、人事管理、合同管理等核心功能模块，支持PC端与移动端一体化使用，广泛应用于政府机关、企事业单位等各类组织的日常办公场景。全程云OA /OA/SMS/download.ashx 接口存在文件读取漏洞，攻击者可读取服务器上的任意文件内容。 影响： 全程云OA存在文件读取漏洞，攻击者可利用该漏洞读取服务器上的敏感文件，获取数据库连接配置、系统账号密码等关键信息，进一步扩大攻击面，威胁服务器整体安全。 修复建议： 1、对用户输入的文件路径参数进行严格过滤，禁止 ../ 等路径穿越字符。2、使用白名单机制验证允许访问的文件路径范围。3、限制 Web 应用运行账户的文件系统访问权限，禁止访问敏感目录。4、及时升级全程云OA至最新版本，或联系官方获取安全补丁。 FOFA： body="images/yipeoplehover.png" && body="images/yiphone.png"