【漏洞預警】CNNVD 關于通達OA安全漏洞情況的通報

近日，國家信息安全漏洞庫（CNNVD）收到關于通達OA安全漏洞

（CNNVD-202004-1959）的報送。成功利用該漏洞的攻擊者可以任意登錄賬戶，控制通達OA系統。通達OA v11.5.200417之前版本均受此漏洞影響。目前，通達OA官方網站已發布新版本修復了該漏洞，請用戶及時確認系統版本，盡快采取修補措施。

一、漏洞介紹

通達OA（Office Anywhere網絡智能辦公系統）是由北京通達信科科技有限公司自主研發的協同辦公自動化軟件。其用戶主要是中國國內，包括軍隊、公安、電力、電信等重要機構。

漏洞源于系統對用戶傳入數據過濾不嚴，導致攻擊者可以偽造任意帳戶登錄系統。未經授權的攻擊者可以通過精心構造的HTTP請求登錄任意用戶，包括Admin用戶，從而控制通達OA系統，甚至有可能結合其它漏洞控制整個服務器。

二、危害影響

成功利用該漏洞的攻擊者可以任意登錄賬戶，控制通達OA系統。通達OA v11.5.200417之前版本均受此漏洞影響。

三、修復建議

目前，通達OA官方網站已發布新版本修復了該漏洞，請用戶及時確認系統版本，盡快采取修補措施。官方更新鏈接如下：

https://www.tongda2000.com/download/sp2019.php