武漢安域信息安全技術有限公司通過對互聯網安全漏洞信息的跟蹤，通過互聯網監測到Apache Struts2被曝出遠程代碼執行漏洞（CVE-2021-31805）。攻擊者利用該漏洞，可遠程執行任意代碼，獲取目標服務器權限。目前，漏洞利用原理已公開，官方補丁已發布。該漏洞的綜合評級為“高?！?，建議用戶盡快進行評估修復。

一、源碼泄露掃描網站發現web.rar源碼備份,下載，解壓。二、web.config首先看了一下web.config,發現數據庫連接配置文件，嘗試連接數據庫，連接失?。ㄗ詈髧L試用哥斯拉連接數據庫，連接成功）。三、審計上傳首頁有個上傳，能上傳asp不能上傳aspx，既然有源碼，看看怎么做的限制。四、上傳繞過發現只是判斷文件后綴是否為aspx...

近日，武漢安域信息安全技術有限公司安全服務部發現致遠A8 OA舊版本未授權文件上傳漏洞在野利用EXP；致遠A8 OA舊版本某些接口存在未授權訪問，以及部分函數存在過濾不足，攻擊者通過構造惡意請求，可在無需登錄的情況下上傳惡意腳本文件，從而獲取服務器權限，控制服務器。致遠A8 OA官方已針對該漏洞提供補丁。...