返回列表

金和 OA JC6 /jc6/servlet/Upload 文件上传漏洞

文件上传2024-07-10

影响软件

金和 OA (Jinhe OA)

CWE

CWE-434

受影响版本

JC6 系列版本

关联产品

金和OA金和 OA (Jinhe OA)

漏洞描述

### 漏洞概述 金和 OA JC6 系统前端接口 `/jc6/servlet/Upload` 存在文件上传漏洞。 ### 影响范围 攻击者可利用该接口上传任意类型文件,获取网站服务器权限(Webshell)。 ### 利用条件 需访问目标系统的该 Servlet 路径,通常无需认证或仅需基础认证。 ### 修复建议 1. 升级金和 OA JC6 至最新补丁版本。 2. 限制上传文件后缀名(如 .jsp, .php)。 3. 对上传目录设置执行权限控制。 ### 参考链接 [原始报告](https://rss.biu.life/ti/%E9%87%91%E5%92%8COA%20JC6%20/jc6/servlet/Upload%20%E6%96%87%E4%BB%B6%E4%B8%8A%E4%BC%A0%E6%BC%8F%E6%B4%9E)

查看原文

当前页面内容可能涉及 AI 翻译、补全或规范化处理,请结合原始来源核对关键信息。