id:ecology-XXE-QVD-2023-16177info:name:泛微E-CologyXXE漏洞author:mhb17severity:criticaldescription:泛微e-cology某处功能点最初针对用户输入的过滤不太完善,导致在处理用户输入时可触发XXE。后续修复规则依旧可被绕过,本次漏洞即为之前修复规则的绕过。攻击者可利用该漏洞列目录、读取文件,甚至可能获取应用系统的管...
泛微e-cology OA是一个集企业信息门户、知识管理、数据中心、工作流管理、人力资源管理、客户与合作伙伴管理、项目管理、财务管理、资产管理等功能于一体的协同业务平台。泛微OA E-Cology 存在XXE漏洞。 漏洞危害 攻击者可以利用该漏洞读取文件,列目录或者结合其他漏洞例如SSRF提升危害 ...
通过进程信息扫描本机安装的 泛微 e-cology,并通过补丁文件特征来判断是否存在漏洞。 简单使用 运行./weaver_ecology_xxe_vuln_scanner_linux_amd64 scan 输出是否存在漏洞:是 或者VulnFound: true 则说明存在漏洞,Version 或者版本号 字段为工具检测到的资产的版本。 将检测数据输出到 json 文件 运行./weaver_ecolo...
漏洞编号:暂无 漏洞类型:XML外部实体注入(XXE) 漏洞等级:严重 发布时间:2023-07-14 漏洞描述: 泛微协同管理应用平台E-Cology是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。 近日,泛微发布了 E-Colo...
泛微E-Cology系统接口SignatureDownLoad存在SQL注入漏洞.md 泛微E-Cology系统接口deleteRequestInfoByXml存在XXE漏洞.md 泛微E-Mobile-client.do存在命令执行漏洞.md 泛微E-Mobile-messageType.do存在命令执行漏洞.md 泛微E-MobileServer远程命令执行漏洞.md 泛微E-Mobile系统接口cdnfile存在任意文件读取...
2019年10月10日CNVD发布了泛微e-cology OA系统存在SQL注入漏洞。该漏洞是由于OA系统的WorkflowCenterTreeData接口中涉及Oracle数据库的SQL语句缺乏安全检查措施所导致的,任意攻击者都可借SQL语句拼接时机注入恶意payload,造成SQL注入攻击。 影响版本 使用Oracle数据库的泛微服务 ...
[0day]泛微 e-cology OA 前台SQL注入漏洞复现 本文作者:CreaT0ye(Timeline Sec核心成员) 本文共643字,阅读大约需要2分钟 0x00 简介 泛微提供了移动办公、微信办公、协同办公(OA)、流程管理、信息门户、知识管理、费控管理等功能,适用于手机和pc端,是当今比较主流的OA系统之一。
e-cology前台接口SQL注入漏洞 POST /mobile/browser/WorkflowCenterTreeData.jsp?node=wftype_1&scope=2333HTTP/1.1 formids=11111111111)))%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d...
泛微e-cology是一款由泛微网络科技开发的协同管理平台,支持人力资源、财务、行政等多功能管理和移动办公。泛微e-cology系统接口/rest/ofs/deleteRequestInfoByXml 存在XXE漏洞 fofa app="泛微-协同商务系统" poc POST /rest/ofs/deleteRequestInfoByXml HTTP/1.1 Host: Content-Type: application/xml Con...
泛微e-cology9存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。 影响版本 泛微e-cology V9<10.56 漏洞复现 fofa语法:app="泛微-协同商务系统" 登录页面: POC: POST /mobile/%20/plugin/browser.jsp HTTP/1.1Host: User-Agent: Mozilla/5.0(Windows NT10.0; Win64; x64; rv:109.0) Gecko/20100101Fire...