返回列表

金和OA /C6/JHsoft.CostEAI/SAP_B1Config.aspx/?manage=1 未授权访问漏洞

未授权访问2024-10-18

影响软件

金和 OA (Jinhe OA)

受影响版本

金和 OA C6 及 CostEAI 模块

关联产品

金和OA金和 OA (Jinhe OA)

漏洞描述

### 漏洞概述 金和 OA 办公系统(Jinhe OA)中的 CostEAI 模块存在未授权访问漏洞。攻击者无需认证即可访问特定接口。 ### 影响范围 主要影响金和 OA C6 版本及 JHsoft.CostEAI 组件,具体路径为 /SAP_B1Config.aspx。 ### 利用条件 1. 目标系统网络可达。 2. 漏洞路径未添加访问控制或鉴权中间件。 3. 攻击者需知道具体的 URL 路径及参数(manage=1)。 ### 修复建议 1. 升级金和 OA 至最新补丁版本。 2. 在 Web 服务器层面对 /SAP_B1Config.aspx 接口增加鉴权机制。 3. 限制该接口的访问来源 IP。 ### 参考链接 详见来源链接。

补充来源

https://rss.biu.life/ti/%E9%87%91%E5%92COA%20/C6/JHsoft.CostEAI/SAP_B1Config.aspx/%3Fmanage%3D1%20%E6%9C%AA%E6%8E%88%E6%9D%83%E8%AE%BF%E9%97%AE%E6%BC%8F%E6%B4%9E
查看原文

当前页面内容可能涉及 AI 翻译、补全或规范化处理,请结合原始来源核对关键信息。