id:ecology-XXE-QVD-2023-16177info:name:泛微E-CologyXXE漏洞author:mhb17severity:criticaldescription:泛微e-cology某处功能点最初针对用户输入的过滤不太完善,导致在处理用户输入时可触发XXE。后续修复规则依旧可被绕过,本次漏洞即为之前修复规则的绕过。攻击者可利用该漏洞列目录、读取文件,甚至可能获取应用系统的管...
泛微e-cology OA是一个集企业信息门户、知识管理、数据中心、工作流管理、人力资源管理、客户与合作伙伴管理、项目管理、财务管理、资产管理等功能于一体的协同业务平台。泛微OA E-Cology 存在XXE漏洞。 漏洞危害 攻击者可以利用该漏洞读取文件,列目录或者结合其他漏洞例如SSRF提升危害 ...
电话:18898400087 漏洞编号:暂无 漏洞类型:XML外部实体注入(XXE) 漏洞等级:严重 发布时间:2023-07-14 漏洞描述: 泛微协同管理应用平台E-Cology是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。 近日,泛...
通过进程信息扫描本机安装的 泛微 e-cology,并通过补丁文件特征来判断是否存在漏洞。 简单使用 运行./weaver_ecology_xxe_vuln_scanner_linux_amd64 scan 输出是否存在漏洞:是 或者VulnFound: true 则说明存在漏洞,Version 或者版本号 字段为工具检测到的资产的版本。 将检测数据输出到 json 文件 运行./weaver_ecolo...
漏洞简介 2019年10月10日CNVD发布了泛微e-cology OA系统存在SQL注入漏洞。该漏洞是由于OA系统的WorkflowCenterTreeData接口中涉及Oracle数据库的SQL语句缺乏安全检查措施所导致的,任意攻击者都可借SQL语句拼接时机注入恶意payload,造成SQL注入攻击。 影响版本
该漏洞是由于OA系统的WorkflowCenterTreeData接口在收到用户输入的时候未进行安全过滤,oracle数据库传入恶意SQL语句,导致SQL漏洞。 0x02 影响范围 使用oracle数据库的泛微 e-cology OA 系统 0x03 环境搭建 在线环境(限今晚): 打赏(任意金额)+转发,联系作者获取 ...
泛微E-Cology系统接口SignatureDownLoad存在SQL注入漏洞.md 泛微E-Cology系统接口deleteRequestInfoByXml存在XXE漏洞.md 泛微E-Mobile-client.do存在命令执行漏洞.md 泛微E-Mobile-messageType.do存在命令执行漏洞.md 泛微E-MobileServer远程命令执行漏洞.md 泛微E-Mobile系统接口cdnfile存在任意文件读取...
泛微e-cology9存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。 影响版本 泛微e-cology V9<10.56 漏洞复现 fofa语法:app="泛微-协同商务系统" 登录页面: POC: POST /mobile/%20/plugin/browser.jsp HTTP/1.1Host: User-Agent: Mozilla/5.0(Windows NT10.0; Win64; x64; rv:109.0) Gecko/20100101Fire...