一 漏洞概述

通达 OA（Office Anywhere）网络智能办公系统是适用于企事业单位的通用型网络办公软件，是中国用户群最大的 OA 软件品牌。融合了通达科技长期从事管理软件开发的丰富经验与先进技术，并采用领先的 B/S(浏览器/服务器)操作方式，使得网络办公不受地域限制。

2020年04月17日，通达 OA 官网发布了通达 OA 最新版11.5版本，其中修复了一枚任意用户登录漏洞。未经授权的攻击者可以通过精心构造的 HTTP 请求登录任意用户，包括 Admin 用户。不排除结合其他漏洞进一步控制通达 OA 服务乃至整个服务器的可能。建议广大用户及时将使用的通达 OA 系统更新到最新版本。

二 影响版本

通达 OA < 11.5.200417版本

三 复现过程

无

四 影响范围

根据 ZoomEye 网络空间搜索引擎对关键字 “tongda” 进行搜索，共得到 499 条 历史记录，主要分布在广东、福建等省。

五 修复建议

请访问以下链接下载补丁更新：

https://www.tongda2000.com/download/sp2019.php

 

六 相关链接

ZoomEye：https://www.zoomeye.org/searchResult?q=tongda

通达：https://www.tongda2000.com/download/sp2019.php