返回列表

金和 OA SAP_B1Config 未授权访问漏洞

未授权访问 (Authentication Bypass)2024-08-02

影响软件

金和 OA

CWE

CWE-287 (Improper Authentication)

CVSS

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

关联产品

金和OA金和 OA

漏洞描述

### 漏洞概述 金和 OA 系统存在未授权访问漏洞,攻击者可通过直接访问特定接口获取敏感信息或执行操作。 ### 影响范围 主要涉及金和 OA 系统中的 SAP_B1Config.aspx 接口。 ### 利用条件 无需用户认证即可访问该接口,前提是网络可达且端口开放。 ### 修复建议 1. 在接口处增加 Session 验证或 Token 校验。 2. 限制特定 IP 段访问配置接口。 3. 升级至最新补丁版本(如有)。 ### 参考链接 详见来源链接。

补充来源

https://rss.biu.life/ti/%E9%87%91%E5%92%8COA%20SAP_B1Config%20%E6%9C%AA%E6%8E%88%E6%9D%83%E8%AE%BF%E9%97%AE%E6%BC%8F%E6%B4%9E
查看原文

当前页面内容可能涉及 AI 翻译、补全或规范化处理,请结合原始来源核对关键信息。