致远 OA /seeyon/officeservlet 信息泄露漏洞
漏洞描述
致远OA系统的/seeyon/officeservlet接口存在严重的信息泄露漏洞。该接口由于访问控制缺失,允许未经授权的攻击者直接访问并获取系统的敏感配置信息。根据响应包内容,攻击者可以成功获取到数据库连接信息,包括数据库类型(如MySQL、SQLServer)、IP地址、端口、数据库名、数据库用户名以及经过弱加密或编码处理的密码。响应中的ctpDataSource.password字段包含了数据库连接密码,虽然经过了一定编码(如Base64),但极易被解码还原,导致数据库连接凭证完全暴露。
FOFA 语句
暂无
影响范围
致远OA
漏洞详情
暂无
漏洞 POC
暂无
修复建议
暂无