o2oa-detect: O2OA 企业及团队办公平台

日期: 2025-09-01 | 影响软件: O2OA | POC: 已公开

漏洞描述

O2OA是一款开源免费的企业及团队办公平台,提供门户管理、流程管理、信息管理、数据管理四大平台,集工作汇报、项目协作、移动OA、文档分享、流程审批、数据协作等众多功能,满足企业各类管理和协作需求。 O2OA系统 open 接口存在任意文件读取漏洞。攻击者可利用漏洞读取任意文件。

PoC代码[已公开]

id: o2oa-detect

info:
  name: O2OA 企业及团队办公平台
  author: zan8in
  severity: info
  verified: true
  description: |
    O2OA是一款开源免费的企业及团队办公平台,提供门户管理、流程管理、信息管理、数据管理四大平台,集工作汇报、项目协作、移动OA、文档分享、流程审批、数据协作等众多功能,满足企业各类管理和协作需求。 O2OA系统 open 接口存在任意文件读取漏洞。攻击者可利用漏洞读取任意文件。

rules:
  r0: 
    request:
      method: GET
      path: /x_desktop/index.html
    expression: response.status == 200 && response.body.ibcontains(b'<title>O2OA</title>')
expression: r0()
来源: https://github.com/zan8in/afrog/blob/main/pocs/afrog-pocs/fingerprinting/o2oa-detect.yaml

相关漏洞推荐