近日，国家信息安全漏洞库新增中国用友致远软件技术有限公司的致远OA文件上传漏洞1个（CNNVD-202101-1460）。成功利用漏洞的攻击者可以在未授权的情况下实现恶意文件上传，从而控制服务器。致远OA V8.0、V8.0SP1、V7.1、V7.1SP1、V7.0、V7.0SP1、V7.0SP2、V7.0SP3、V6.0、V6.1SP1、V6.1SP2版本均受漏洞影响。目前，致远官方已发布版本更新修复了漏洞，建议用户及时确认是否受到漏洞影响，尽快采取修补措施。

       一、漏洞介绍

       致远OA是中国用友致远软件技术有限公司下属的全资子公司北京致远互联软件股份有限公司的一套办公自动化软件。

该漏洞源于致远OA部分版本ajax接口存在未授权访问，攻击者通过构造恶意请求，可在无需登录的情况下上传恶意文件，从而控制目标服务器。

       二、危害影响

       成功利用漏洞的攻击者可以在未授权的情况下实现恶意文件上传，从而控制服务器。

       三、修复建议

       目前，致远官方已发布版本更新修复了漏洞，建议用户及时确认是否受到漏洞影响，尽快采取修补措施。官方链接如下：

       http://service.seeyon.com/patchtools/tp.HTML#/patchList?type=%E5%AE%89%E5%85%A8%E8%A1%A5%E4%B8%81&id=1

       本通报由CNNVD技术支撑单位——内蒙古洞明科技有限公司、北京华顺信安科技有限公司、内蒙古奥创科技有限公司、北京天融信网络安全技术有限公司、北京华云安信息技术有限公司、北京奇虎科技有限公司、新华三技术有限公司、北京中测安华科技有限公司、华为技术有限公司未然实验室等技术支撑单位提供支持。

       CNNVD将继续跟踪上述漏洞的相关情况，及时发布相关信息。