泛微e-cology8 的 SptmForPortalThumbnail.jsp 文件中的 preview 未进行安全过滤,攻击者可通过该漏洞读取泄露源码、数据库配置文件等等,导致网站处于极度不安全状态。 fofa app="泛微-OA(e-cology)" poc /portal/SptmForPortalThumbnail.jsp?preview=../ecology/WEB-INF/prop/weaver.properties Fo...
【泛微OA E-cology远程代码执行漏洞原理分析】最近曝光了很多漏洞,后续将对这些有代表性的漏洞进行分析审分析,今天有空先审计分析泛微 OA RCE漏洞。http://t.cn/Aiu2VsDr
18 changes: 18 additions & 0 deletions 18 泛微E-Cology系统接口SignatureDownLoad存在SQL注入漏洞.md Original file line numberDiff line numberDiff line change @@ -0,0 +1,18 @@ ## 泛微E-Cology系统接口SignatureDownLoad存在SQL注入漏洞 ## fofa ``` app="泛微-OA(e-cology)" ``` ## poc ``...
近日,腾讯云安全中心监测发现办公协作系统泛微e-cology OA被曝存在数据库配置信息泄漏漏洞,如攻击者可直接访问数据库,则可直接获取用户数据,甚至可以直接控制数据库服务器。 为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
近日,腾讯云安全中心监测到国内知名协同办公系统泛微E-cology OA 多个版本被曝存在SQL注入高危漏洞,攻击者可构造特定语句绕过系统限制进行注入攻击,从而获取系统敏感信息。 为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时联系厂商获取最新补丁进行更新修复,避免被外部攻击者入侵。
Verified 1 parent36e3626commit3cd59e6 Showing1 changed filewith19 additionsand0 deletions. Whitespace Ignore whitespace Split Unified 19 changes: 19 additions & 0 deletions19泛微OA-E-Cology-FileDownload文件读取漏洞.md Original file line numberDiff line numberDiff line change ...
由于泛微e-cology未对用户的输入进行有效的过滤,直接将其拼接进了SQL查询语句中,导致系统出现SQL注入漏洞,远程未授权攻击者可利用此漏洞获取敏感信息,进一步利用可能获取目标系统权限等。 ## 搜索语法 fofa:`app="泛微-协同办公OA"` ## POC ```http GET /api/ec/dev/locale/getLabelByModule?moduleCode=1%27)...