金和 OA /c6/jhsoft.wcf/functionnew/FileUpload.aspx 文件读取漏洞
文件读取2025-07-25
影响软件
金和 OA
CWE
CWE-22: Path Traversal
受影响版本
All versions prior to latest patch
漏洞描述
### 漏洞概述 金和 OA 办公自动化系统的 /c6/jhsoft.wcf/functionnew/FileUpload.aspx 接口存在文件读取漏洞。 ### 影响范围 攻击者利用该漏洞可读取服务器上的任意文件,导致敏感配置、日志或代码泄露。 ### 利用条件 需访问目标系统对应的 WCF 接口路径,具体认证要求视版本而定(通常为未授权或低权限)。 ### 修复建议 1. 升级金和 OA 至官方最新补丁版本。 2. 限制 FileUpload.aspx 接口的文件读取参数范围。 3. 在 Web 服务器层面对该路径进行访问控制。 ### 参考链接 - https://rss.biu.life/ti/%E9%87%91%E5%92COA%20/c6/jhsoft.wcf/functionnew/FileUpload.aspx%20%E6%96%87%E4%BB%B6%E8%AF%BB%E5%8F%96%E6%BC%8F%E6%B4%9E
当前页面内容可能涉及 AI 翻译、补全或规范化处理,请结合原始来源核对关键信息。