泛微e-cology是一套企业大型协同管理平台,支持多种业务应用系统,包括OA(办公自动化)、CRM(客户关系管理)、ERP(企业资源计划)等。 action.jsp文件通常用于处理来自用户的请求,包括文件上传操作。在正常的业务逻辑中,action.jsp会接收用户上传的文件,并进行相应的处理(如存储、校验等)。 研究泛微e-cology oa中action....
泛微新一代移动办公平台e-cology不仅组织提供了一体化的协同工作平台,将组织事务逐渐实现全程电子化,改变传统纸质文件、实体签章的方式。 漏洞描述 Weaver e-cology OAAction.jsp文件存在文件上传漏洞。 Fofa (header="testBanCookie"||banner="testBanCookie"||body="/wui/common/css/w7OVFont.css"||(body="type...
漏洞描述 E-cology易受Springframework本地文件包含漏洞 漏洞复现 fofa语法:app="泛微-协同办公OA" 登录页面如下: POC:/weaver/org.springframework.web.servlet.ResourceServlet?resource=/WEB-INF/web.xml nuclei批量yaml文件 id:ecology-springframework-directory-traversalinfo:name:EcologySpringframework-LocalFileInclu...
1.简介(开场废话) 攻击者可通过存在漏洞的页面直接获取到数据库配置信息。如果攻击者可直接访问数据库,则可直接获取用户数据,甚至可以直接控制数据库服务器。 2.影响范围 漏洞涉及范围包括不限于8.0、9.0版 3.搭建个环境(其实环境不重要,信息泄露这个东西) 4.已知漏洞点出现在/mobile/dbconfigreader.jsp这个页面(开...
泛微E-COLOGY SQL注入漏洞通告 绿盟科技NSFOCUS 一、漏洞概述 近日,绿盟科技CERT监测发现国内安全厂商公开披露了一个泛微Ecology OA SQL注入漏洞。由于Ecology OA对用户输入内容的验证存在缺陷。未经身份验证的远程攻击者通过向目标系统发送特制的字符串,最终可实现获取目标数据库中的敏感信息。请受影响的用户尽快采取措施进...
近日,腾讯云安全中心监测发现办公协作系统泛微e-cology OA被曝存在数据库配置信息泄露漏洞,如攻击者可直接访问数据库,则可直接获取用户数据,甚至可以直接控制数据库服务器。 为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。同时建议云上租户免费开...
1.1 漏洞背景 泛微e-cology是一款功能强大的企业大型协同管理平台,包含知识文档管理、人力资源管理、客户关系管理、项目管理、财务管理、工作流程管理、数据中心等模块。依托全新的设计理念,全新的管理思想,为中大型企业实现“便捷、灵活、安全、高效”的办公体验。
1.1 漏洞描述 泛微协同管理应用平台 e-cology 是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。 由于系统中存在SQL注入漏洞,未经身份认证的远程攻击者利用此漏洞可以获取数据库敏感信息,进一步利用可能导致...
泛微协同管理应用平台(e-cology)是一套企业大型协同管理平台。泛微e-cology9部分版本中存在前台任意用户登录漏洞,由于系统默认配置固定密钥进行用户身份验证。当存在/mobile/plugin/1/ofsLogin.jsp文件时(可能通过插件方式安装),攻击者可通过构造恶意的HTTP请求访问/mobile/plugin/1/ofsLogin.jsp绕过用户验证进而实现任意...
漏洞复现 fofa查询语法:app="泛微-协同办公OA" 鹰图查询语法:app.name="泛微 e-cology 9.0 OA" 登录页面如下: POC:/weaver/ln.FileDownload?fpath=../ecology/WEB-INF/web.xml nuclei批量yaml文件 id:ecology-filedownload-directory-traversalinfo:name:Ecology-LocalFileInclusionauthor:princechaddhaseverity:high...