一、漏洞详情

通达OA（Office Anywhere网络智能办公系统）是由北京通达信科科技有限公司自主研发的协同办公自动化软件，是适合各个行业用户的综合管理办公平台。

近日，监测到通达OA存在两个SQL注入漏洞（CVE-2023-4165和CVE-2023-4166），详情如下：

CVE-2023-4165：通达OA SQL注入漏洞

通达OA版本11.10之前，/general/system/seal_manage/iweboffice/delete_seal.php路径下的DELETE_STR参数存在SQL注入漏洞，可能导致通过SQL盲注（延时注入）获取数据库中的敏感信息。

CVE-2023-4166：通达OA SQL注入漏洞

通达OA版本11.10之前，/general/system/seal_manage/dianju/delete_log.php路径下的$DELETE_STR参数存在SQL注入漏洞，可能导致通过SQL盲注（延时注入）获取数据库中的敏感信息。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

通达OA < v11.10

三、修复建议

目前这些漏洞已经修复，受影响用户可升级到以下版本：

通达OA >= v11.10