漏洞告之：通达OA 远程代码执行漏洞

一、漏洞概述

北京通达信科科技有限公司是中国兵器工业信息中心的全资子公司，简称通达信科。是一支以管理软件研发、实施、服务与咨询为主营业务的高科技企业，隶属于世界500强企业中国兵器工业集团公司。作为国内协同管理软件行业内唯一的央企单位，通达信科将自身定位于中国协同OA软件的领跑者， 中国优秀的云应用方案提供商。通达信科建立了一支以年轻博士、硕士、高级工程师为核心的专业技术团队， 具备雄厚的研发实力和强大的项目实施及售后服务能力，是一支素质卓越、服务热情、勤勉奋进的优秀科研团队。一直以来，通达信科坚持秉承央企的信誉、外企的管理、民企的效率，通达信科人具备"能打大仗，敢打硬仗"的项目执行力， 是国内协同管理软件领域内鲜有的专家级领军团队。

2020年3月13号通达OA论坛发送紧急补丁

文件上传加文件包含导致远程命令执行

二、影响范围

V11版

2017版

2016版

2015版

2013增强版

2013版：

三、漏洞等级

高危

四、漏洞验证

五、补丁地址

V11版：http://cdndown.tongda2000.com/oa/security/2020_A1.11.3.exe 2017版：http://cdndown.tongda2000.com/oa/security/2020_A1.10.19.exe 2016版：http://cdndown.tongda2000.com/oa/security/2020_A1.9.13.exe 2015版：http://cdndown.tongda2000.com/oa/security/2020_A1.8.15.exe 2013增强版：http://cdndown.tongda2000.com/oa/security/2020_A1.7.25.exe 2013版：http://cdndown.tongda2000.com/oa/security/2020_A1.6.20.exe