通达OA权限提升漏洞通告

0x00 漏洞背景

2020年04月22日， 360CERT监测发现 通达OA官方 发布了编号为 11.5.200417 的更新通告，此次更新修复了一枚权限提升漏洞，漏洞等级：高危。

通达OA是由北京通达信科科技有限公司研发的一款通用型OA产品，涵盖了个人事务、行政办公、流程审批、知识管理、人力资源管理、组织机构管理等企业信息化管理功能。2015年，通达云OA入驻阿里云企业应用专区，已为众多中小企业提供了稳定、可靠、强悍的云计算支撑。

通达OA 存在 权限提升漏洞，攻击者 通过 发送特制请求包，可以造成 权限提升(未认证用户提升到管理员)。

对此，360CERT建议广大用户及时安装最新补丁，做好资产自查以及预防工作，以免遭受黑客攻击。

0x01 风险等级

360CERT对该漏洞的评定结果如下

评定方式	等级
威胁等级	高危
影响面	有限

0x02 漏洞详情

在通达OA 存在如下代码逻辑

$UID = intval($_POST["UID"]);
...
$query = "SELECT * from USER where UID='$UID'";
if($ROW = mysql_fetch_array($cursor)){
 $USER_ID = $ROW["USER_ID"];
 $PWD = $ROW["PASSWORD"];
 $USERNAME = $ROW["USER_NAME"];
}
...
$LOGIN_UID = $UID;
$LOGIN_USER_ID = $USER_ID;
$LOGIN_BYNAME = $BYNAME;
$LOGIN_USER_NAME = $USERNAME;
$_SESSION["LOGIN_UID"] = $LOGIN_UID;
$_SESSION["LOGIN_USER_ID"] = $LOGIN_USER_ID;
$_SESSION["LOGIN_BYNAME"] = $LOGIN_BYNAME;
$_SESSION["LOGIN_USER_NAME"] = $LOGIN_USER_NAME;

当 UID 由用户控制时造成用户权限提升。

0x03 影响版本

通达OA：11.5.200417 之前的版本

0x04 修复建议

通用修补建议：

升级到11.5.200417版本，下载地址为：通达OA更新。

0x05 相关空间测绘数据

360安全大脑-Quake网络空间测绘系统通过对全网资产测绘，发现 通达OA 在 国内 有广泛使用，具体分布如下图所示。

0x06 产品侧解决方案

360城市级网络安全监测服务

360安全大脑的QUAKE资产测绘平台通过资产测绘技术手段，对该类漏洞进行监测，请用户联系相关产品区域负责人获取对应产品。

0x07 时间线

2020-04-17 通达OA发布更新

2020-04-22 360CERT发布预警

0x08 参考链接

【通达OA】办公就用通达OA,通达OA官方网站_OA系统_协同办公 [https://www.tongda2000.com/download/sp2019.php]