返回列表

金和 OA ntkoupload 任意文件上传漏洞

任意文件上传2024-07-25

影响软件

金和 OA

CWE

CWE-434

关联产品

金和OA金和 OA

漏洞描述

## 漏洞概述 金和 OA 系统 ntkoupload 接口存在任意文件上传漏洞,攻击者可利用该接口上传恶意文件至服务器。 ## 影响范围 主要影响金和 OA 系列软件,具体版本未明确。 ## 利用条件 1. 攻击者需能访问目标系统的 ntkoupload 接口。 2. 通常需要一定的权限(如登录用户),部分配置下可能允许匿名上传。 3. 服务端对文件后缀名或类型验证不足。 ## 修复建议 1. 升级金和 OA 至最新官方版本。 2. 在 ntkoupload 接口增加严格的文件后缀白名单校验。 3. 限制上传目录的执行权限,避免脚本直接执行。 4. 对上传文件名进行随机化处理。 ## 参考链接 详见来源链接。

补充来源

https://rss.biu.life/ti/%E9%87%91%E5%92%8C%20OA%20ntkoupload%20%E4%BB%BB%E6%84%8F%E6%96%87%E4%BB%B6%E4%B8%8A%E4%BC%A0%E6%BC%8F%E6%B4%9E
查看原文

当前页面内容可能涉及 AI 翻译、补全或规范化处理,请结合原始来源核对关键信息。