【漏洞报送】泛微E-Office存在SQL注入漏洞(CNVD-2022-43246)

最新推荐文章于 2024-05-27 18:24:21 发布
最新推荐文章于 2024-05-27 18:24:21 发布
阅读量2k 收藏
点赞数
文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/axiom2020/article/details/125193502
版权

0x01 泛微E-Office

泛微E-Office是一款标准化的协同 OA 办公软件,泛微协同办公产品系列成员之一,实行通用化产品设计,充分贴合企业管理需求,本着简洁易用、高效智能的原则,为企业快速打造移动化、无纸化、数字化的办公平台。

0x02 漏洞概述

近日,CNVD发布的安全公告内,上海泛微网络科技股份有限公司的产品E-Office存在SQL注入漏洞,攻击者可以通过该漏洞获取到数据库敏感信息。

版本范围:

  • E-Office v9.0 141103

0x03 漏洞信息

漏洞编号:CNVD-2022-43246

漏洞POC:未知

漏洞EXP:未知

利用条件:低

漏洞危害:高危 SQL注入

0x04 修复方案

官方修复方案:

官方已发布安全版本,请及时下载更新,下载地址:https://service.e-office.cn/download

临时缓释方案:

使用白名单限制web端口的访问来降低风险。

ba1s1r
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
E-office OA 平行越权漏洞复现
afei001
01-09 659
目录 1.漏洞概述 2.影响范围 3.漏洞等级 4.漏洞复现 5.漏洞分析 6.漏洞修复 1.漏洞概述 e-office公司面向中小型组织推出的OA产品,简单易用高效,部署快、投资少。提供免费试用体验。至今已为超过一万家客户提供方便高效的办公体验。但e-office OA系统存在漏洞还真不少。这个平行越权漏洞之前早就在乌云上爆出过了。 E-office官网:w...
E-Office10远程代码执行漏洞
05-06
E-Office 10确实存在远程代码执行漏洞,这个漏洞**可能导致严重的安全后果**。 该漏洞的关键在于系统处理上传的PHAR文件时存在的缺陷。攻击者能够上传伪装的PHAR文件到服务器,利用PHP处理PHAR文件时自动进行的...
e-office json_common.php SQL注入漏洞
CommputerMac的博客
10-18 520
e-office为企业办公提供丰富应用,覆盖常见协作场景,开箱即用。满足人事、行政、财务、销售、运营、市场等不同部门协作需求,帮助组织高效管事理人。系统 json_common.php 文件存在SQL注入漏洞
(附nuclei yaml文件)E-office 10 atuh-filephar反序列化命令执行漏洞复现(QVD-2024-11354)
最新发布
nglj9527的博客
05-27 808
E-Offiсе10是一款企业级办公自动化系统,主要用于优化和管理企业的文档、信息流转、协作与沟通工作流程。E-Offiсе10存在远程代码执行漏洞。由于系统处理上传的PHAR文件时存在缺陷,未经身份验证的远程攻击者能够上传伪装的PHAR文件到服务器,利用PHP处理PHAR文件时自动进行的反序列化机制来触发远程代码执行。
CNVD-2021-49104——E-Office文件上传漏洞
LiBai'S BLOG
11-28 8383
CNVD-2021-49104漏洞描述危害等级FOFA 语法影响版本漏洞复现修复建议 漏洞描述 e-office旗下的一款标准协同移动办公平台。由于 e-office 未能正确处理上传模块中的用户输入,攻击者可以通过该漏洞构造恶意的上传数据包,最终实现任意代码执行。 危害等级 高危 文件上传可直接get webshell FOFA 语法 app="-EOffice" 影响版本 e-office V9.0 漏洞复现 构造请求上传文件即可 POST /general/index/U
e-office系统存在SQL注入漏洞
holyxp的博客
11-02 818
e-office系统是标准、易用、快速部署上线的专业协同OA软件,国内协同OA办公领域领导品牌,致力于为企业用户提供专业OA办公系统、移动OA应用等协同OA整体解决方案。
E-Office最新文件上传漏洞CNVD-2021-49104)
swordheart的博客
12-02 4555
0x00 漏洞介绍 e-office旗下的一款标准协同移动办公平台。主要面向中小企业。该漏洞是由于 e-office 未能正确处理上传模块中用户输入导致的,攻击者可以构造恶意的上传数据包,实现任意代码执行。 0x01 漏洞版本 e-office v9.0 0x02 漏洞复现 poc如下 POST /general/index/UploadFile.php?m=uploadPicture&uploadType=eoffice_logo&userId= HTT...
漏洞复现--E-Office 10任意文件上传漏洞
qq_53003652的博客
10-07 2444
E-Office 10在 10.0_20230821 版本之前存在远程代码执行漏洞,该漏洞是通过文件上传配合文件包含实现远程代码执行,攻击者可利用此漏洞上传恶意文件并控制服务器。长亭应急团队经过分析后发现该漏洞是通过文件上传配合文件包含实现远程代码执行。近期,长亭科技监测到官方发布了新补丁修复了一处远程代码执行漏洞
e-office短信插件_短信接口开发_e-office短信发送设置
02-11
e-office短信插件设置指南 在e-office V10.0版本中,设置短信发送功能需要通过短信接口进行开发。下面将详细介绍e-office短信插件的设置步骤和短信接口的开发过程。 一、e-office短信插件...
e-office10to11升级包(适用10.0-20221012)
12-20
协同办公平台e-office10 to e-office11升级包(适用10.0_20221012) 版本: 11.0_2022 发布日期: 2022-11-22 适合升级版本: 10.0_20221012版 注意事项: 1.标准升级程序包,不适用于做过二次开发的10.0系统,...
e-officev10.0_20220809标准补丁(适用于v10.0_20180119及以上版本)
08-26
发布日期: 2022-08-10 适合升级版本: 10.0_20180119版 说明: 补丁包是累计的,故20220809版本包含历史补丁包内容。 安装注意事项 *************必须执行备份后才允许安装补丁************* 1. 请务必在大家不...
最新E-office10.5 Eoffice V10.5 E-office10.0 Eoffice10.0 E-offic95 Eoffice9.0 8.0 行政事业V10.0-附件资源
03-02
最新E-office10.5 Eoffice V10.5 E-office10.0 Eoffice10.0 E-offic95 Eoffice9.0 8.0 行政事业V10.0-附件资源
E-Office 任意文件上传漏洞 CVE-2023-2648(漏洞复现)
LHBD_R的博客
06-21 2837
漏洞介绍: E-Office 9.5版本中文件上传处理程序接口uploadify.php参数Filedata的操作导致任意文件上传,攻击者可以通过远程控制接口上传恶意文件
挖洞实战——e-officesql注入漏洞
qq_64875725的博客
11-24 265
0x01 漏洞描述免责声明:文章内容来源于互联网收集整理,仅供学习参考,请勿使用文章内容从事非法测试及恶意攻击,由于传播、利用文章所提供的信息或工具造成的一切损失均由使用者自行承担,并且产生的一切不良后果与文章作者无关。本文章仅供学习参考。0x01 漏洞描述e-office系统 json_common.php 存在SQL注入漏洞,攻击者可利用该漏洞在未授权的情况下获取数据库敏感信息。
OA 最新前台未授权sql注入
swordheart的博客
07-24 1060
e-cology是一款由网络科技开发的协同管理平台,支持人力资源、财务、行政等多功能管理和移动办公。e-cology FileDownloadForOutDoc 未对用户的输入进行有效的过滤,直接将其拼接进了SQL查询语句中,导致系统出现SQL注入漏洞
OA E-Office V10 OfficeServer 任意文件上传漏洞复现
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
10-20 2150
e-ofice是一款标准化的协同0A办公软件, E-ofice 10 0ficeServer 存在任意文件上传漏洞,攻击者可以上传任意文件,获取webshell,在服务器上执行任意命令、读取敏感信息等。
Goby 漏洞发布|E-office协同办公系统 download.php 文件 filename 参数文件读取漏洞
m0_46699477的博客
06-21 379
E-office协同办公系统是一款专业的办公软件,是面向小型企业或团队的工作平台。 E-office协同办公系统存在文件读取漏洞,攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。
e-office系统敏感信息泄露漏洞
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
02-24 553
e-office系统是标准、易用、快速部署上线的专业协同OA软件,国内协同OA办公领域领导品牌,致力于为企业用户提供专业OA办公系统、移动OA应用等协同OA整体解决方案。
E-Office SQL注入漏洞复现
11-30 462
E-Office是一款标准化的协同 OA 办公软件,协同办公产品系列成员之一,实行通用化产品设计,充分贴合企业管理需求,本着简洁易用、高效智能的原则,为企业快速打造移动化、无纸化、数字化的办公平台。
e-office10本地升级
01-30
e-office10是一款优秀的办公自动化软件,其本地升级操作非常简单。首先,我们需要下载最新的e-office10升级包,通常可以在官方网站或相关论坛获取。接着,我们需要备份好原有的e-office10数据,以防止升级过程中出现意外情况导致数据丢失。然后,我们运行升级包,按照界面提示进行操作,通常只需要点击几次“下一步”即可完成升级过程。等待片刻后,系统会自动完成升级,并提示我们重新启动e-office10软件。最后,我们可以打开软件,确认升级是否成功,通常会显示软件版本号已经更新。需要注意的是,在升级过程中,一定要保持电脑网络连接稳定,防止升级失败。总的来说,e-office10的本地升级非常方便快捷,只需要简单的几个步骤就能完成,而且升级后的新版本通常会带来更好的功能和性能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ba1s1r

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值