金和 OA FileDownLoad.aspx 任意文件读取漏洞

**漏洞概述**：金和 OA 系统 FileDownLoad.aspx 接口存在任意文件读取漏洞，主要由于未对用户输入的文件路径参数进行充分验证。 **影响范围**：金和 OA 系列软件，具体受影响版本需结合部署环境确认。 **利用条件**：攻击者需能访问目标系统的 FileDownLoad.aspx 页面，并构造包含相对路径（如 ../）的文件名参数。 **修复建议**：开发团队应对输入的文件路径进行白名单校验或去除特殊字符，限制可读取目录范围至指定静态资源文件夹。 **参考链接**：[原始报告](https://rss.biu.life/ti/%E9%87%91%E5%92%8COA%20FileDownLoad.aspx%20%E4%BB%BB%E6%84%8F%E6%96%87%E4%BB%B6%E8%AF%BB%E5%8F%96%E6%BC%8F%E6%B4%9E)