攻击者可以利用此漏洞轻松获取用户数据,包括敏感信息等,并形成更广泛的攻击。其次,由于系统使用了不当的算法设计,攻击者可以模拟任意用户来登录系统,无需认证和鉴权即可实现获取用户数据和登录后台。受影响的版本:泛微e-cology ec9部分版本,受此漏洞影响。SINE安全建议使用泛微系统的企业,必须高度关注软件系统的...
泛微Ecology漏洞影响企业信息安全 e-cology是一款全能的企业管理平台,它提供了多种功能,包括企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理和数据中心等。这个平台可以协助企业整合不同领域的资源,如市场、销售、研发、人事和行政等,使得用户可以在一个...
起因 长亭最近发了一个漏洞预警《在野1day风险提示|泛微Ecology信息泄露&前台任意用户登录漏洞》,预警文章链接为https://mp.weixin.qq.com/s/ZvbXbtcpq8EslNKZ2hHW_w,本着学习研究的态度,对漏洞可能涉及的逻辑进行了粗略研究。 分析 长亭在预警文章中放出了最新版本的xray,更新后的xray可以对该漏洞进行远程检测,...
泛微Ecology漏洞导致注册用户信息泄露 e-cology是一款全能的企业管理平台,它提供了多种功能,包括企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理和数据中心等。这个平台可以协助企业整合不同领域的资源,如市场、销售、研发、人事和行政等,使得用户可以在一...
[漏洞复现] 泛微ecology OA数据库配置信息泄露 # 泛微e-cology OA系统/mobile/DBconfigReader.jsp存在未授权访问,通过解密,可直接获取数据库配置信息。 利用前提 /mobile/DBconfigReader.jsp存在未授权访问。 漏洞复现# 利用github的exp报错,解密踩坑如下:
2漏洞详情 攻击者可通过该漏洞页面直接获取到数据库配置信息,攻击者可通过访问存在漏洞的页面并解密从而获取数据库配置信息,如攻击者可直接访问数据库,则可直接获取用户数据,由于泛微e-cology默认数据库大多为MSSQL数据库,结合XPCMDSHELL将可直接控制数据库服务器. 2影
漏洞详情:泛微OA ecology9 uploaderOperate.jsp前台任意文件上传漏洞 泛微协同管理应用平台(e-cology)是一款全面的企业管理平台。它具备多元化的功能,包括企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理以及数据中心等。这款平台有助于企业整合各种资源,包...
泛微ecology9的ofsLogin.jsp存在信息泄露与前台任意用户登录漏洞,对此进行了分析。通过长亭发布的预警文章,我们使用更新后的xray进行远程检测,检测命令执行后,可获取漏洞请求数据,对应URL为:/mobile/plugin/1/ofsLogin.jsp?syscode=syscode×tamp=2&gopage=3&receiver=test&loginTokenFromThird=。深...
泛微ecology OA系统接口存在数据库配置信息泄露漏洞. Contribute to jas502n/DBconfigReader development by creating an account on GitHub.
漏洞描述: 泛微协同管理应用平台e-cology是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。 泛微e-cology v10.64.1 在 2024-07-10 补丁之前版本存在 SQL 注入漏洞,/services/ 接口默认对内网暴露,用于...