产品简介 泛微新一代移动办公平台e-cology不仅组织提供了一体化的协同工作平台,将组织事务逐渐实现全程电子化,改变传统纸质文件、实体签章的方式。 漏洞描述 Weaver e-cology OA Action.jsp 文件存在文件上传漏洞。 Fofa (header="testBanCookie"||banner="testBanCookie"||body="/wui/common/css/w7OVFont.css"||...
漏洞检测 编辑 工具功能 检测原理 通过进程信息扫描本机安装的 泛微 e-cology,并通过安全补丁版本来判断是否存在漏洞。 简单使用 选择自己机器对应的二进制文件: weaver_ecology_sqli_scanner_linux_amd64: Linux 64 位系统 weaver_ecology_sqli_scanner_linux_386: Linux 32 位系统 weaver_ecology_sqli_scanner_wind...
泛微 e-cology OA 系统自带 BeanShell 组件且开放未授权访问,攻击者调用 BeanShell 组件接口可直接在目标服务器上执行任意命令。 漏洞影响版本 代码语言:javascript 复制 泛微e-cology<=9.0 0X2 环境搭建 由于e-cology是在云端,因此找了很多的安装包都是e-office,还花了点冤枉钱,而e-office是PHP代码的,所以小伙伴...
该漏洞是由于OA系统的WorkflowCenterTreeData接口在收到用户输入的时候未进行安全过滤,oracle数据库传入恶意SQL语句,导致SQL漏洞。 0x02 影响范围 使用oracle数据库的泛微 e-cology OA 系统 0x03 环境搭建 在线环境(限今晚): 打赏(任意金额)+转发,联系作者获取 FOFA搜索: app="泛微-协同办公OA" 自行搭建: 公众号...
泛微e-office是泛微旗下的一款标准协同移动办公平台。由于 e-office 未能正确处理上传模块中的用户输入,攻击者可以通过该漏洞构造恶意的上传数据包,最终实现任意代码执行。 危害等级: 高危 文件上传可直接get webshell 影响版本: 泛微e-office V9.0 漏洞复现: ...
近日,SINE安全监测中心监控到泛微OA系统被爆出存在高危的sql注入漏洞,该移动办公OA系统,在正常使用过程中可以伪造匿名身份来进行SQL注入攻击,获取用户等隐私信息,目前该网站漏洞影响较大,使用此E-cology的用户,以及数据库oracle都会受到该漏洞的攻击,经过安全技术的POC安全测试,发现漏洞的利用非常简单,危害较大,可以获取管...
泛微e-cology接口HrmService前台SQL注入漏洞.md 泛微e-cology接口getLabelByModule存在sql注入漏洞.md 泛微e-office 未授权访问.md 泛微e-office-mobile_upload_save存在任意文件上传漏洞.md 泛微e-office-uploadify.php存在任意文件上传漏洞.md 泛微e-office10系统schema_mysql.sql敏感信息泄露漏洞.md 泛微e-office系统...
泛微OA漏洞合集 当前集合漏洞: 泛微云桥任意文件读取 泛微OA V8前台Sql注入 泛微OA WorkflowServiceXml RCE CNVD-2019-32204 泛微OA weaver.common.Ctrl 任意文件上传 泛微OA Bsh RCE 泛微OA WorkflowCenterTreeData接口SQL注入(仅限oracle数据库) CNVD-2019-34241 泛微OA E-Cology 数据库配置信息泄漏 ...
泛微协同管理应用平台(e-cology)是一套兼具企业信息门户、知识管理、数据中心、工作流管理、人力资源管理、客户与合作伙伴管理、项目管理、财务管理、资产管理功能的协同商务平台,适用于手机和PC端。 0x01 漏洞概述 泛微e-cology OA系统某接口存在数据库配置信息泄露漏洞.攻击者可通过存在漏洞的页面并解密以后可获取到数...
泛微云桥任意文件读取 泛微OAV8. 代码语言:javascript 复制 python3 poc.py url python3 main.py-f filename python3 main.py-u url https://github.com/z1un/weaver_exp 参考 https://ailiqun.xyz/2021/05/02/%E6%B3%9B%E5%BE%AEOA-%E5%89%8D%E5%8F%B0GetShell%E5%A4%8D%E7%8E% B0/ ...