近期,国家信息安全漏洞共享平台(CNVD)收录了北京极限通科技有限公司(简称极限科技公司)生产的极限OA办公系统(简称极限OA)存在的多处跨站脚本漏洞(CNVD-2012-10335),远程攻击者可以利用这些漏洞远程执行网页恶意代码,发起网页挂马、仿冒、窃取cookies等攻击。具体情况通报如下:
一、漏洞情况分析
极限OA(Office Automation)是极限科技公司生产的一款基于PHP和MySQL开发的商用办公系统。极限OA办公系统存在多处跨站脚本漏洞,如:Web表单没有对用户提交的内容进行严格过滤,攻击者可构造恶意代码(如:JavaScript脚本)存储于服务器上,用户在浏览器打开相关页面时会自动执行恶意代码。根据CNVD测试结果,漏洞能利用发起网页仿冒、网页挂马、窃取cookies等攻击。
二、漏洞影响范围
CNVD对该漏洞的综合评级为 “中危”。测试发现受影响的版本是Office Automation 2011(内部版本编号:3.8.111212)。
根据极限科技公司官方网站公布的客户列表,该产品用户包括多家政府部门、教育系统和电信、金融、保险、地产、交通运输等行业的企事业单位。
三、漏洞处置建议
CNVD于3月16日、3月19日和4月1日多次联系极限科技公司,但其未积极回应,未能按CNVD处置流程要求提供技术细节,也未能明确漏洞修补时间以及如何做好客户应急服务的计划。CNVD建议应对措施如下:
(一)建议相关用户自行联系极限科技公司,要求其针对漏洞情况提供解决方案;
(二)相关用户也可以参照漏洞情况自行对网站进行Web页面漏洞的检测,及时发现存在的安全隐患。
CNVD将持续跟踪漏洞处置情况,如需技术支援,请联系CNVD。联系电话:010-82990286,邮箱:vreport@cert.org.cn,网站:www.cnvd.org.cn。