安全公告编号:CNTA-2021-0002

2021年1月8日，国家信息安全漏洞共享平台（CNVD）收录了致远OA系统文件上传漏洞（CNVD-2021-01627）。攻击者利用该漏洞，可在未授权的情况下上传恶意文件，获取目标服务器权限。目前，漏洞细节已公开，厂商已于2020年12月发布补丁完成修复。

一、漏洞情况分析

致远OA是由北京致远互联软件股份有限公司（以下简称致远公司）开发的一款协同办公产品，构建了面向中大型、集团组织的数字化协同运营平台。该系统基于组织管理的基础理论设计，支持大型组织的发展和变化，解决了组织结构、业务重组、组织流程再造等结构治理相对应的问题，满足集团战略管控、营运管控和财务管控的战略协同行为和垂直业务管控的要求。

近日，有安全人员披露了致远OA系统高危漏洞。未经身份验证的攻击者利用该漏洞，可通过精心构造恶意脚