Goby 漏洞发布|泛微E-office协同办公系统 download.php 文件 filename 参数文件读取漏洞

最新推荐文章于 2024-08-16 11:15:21 发布
最新推荐文章于 2024-08-16 11:15:21 发布
阅读量406 收藏
点赞数
分类专栏: 漏洞 Goby 红队版 文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46699477/article/details/131331197
版权
Goby 同时被 3 个专栏收录
192 篇文章 31 订阅
订阅专栏
漏洞
140 篇文章 3 订阅
订阅专栏
红队版
121 篇文章 4 订阅
订阅专栏

漏洞名称:泛微E-office协同办公系统 download.php 文件 filename 参数文件读取漏洞

English Name:maxView Storage Manager dynamiccontent.properties.xhtml RCE

CVSS core: 5.0

影响资产数:4971

漏洞描述:

泛微E-office协同办公系统是一款专业的办公软件,是面向小型企业或团队的工作平台。 泛微E-office协同办公系统存在文件读取漏洞,攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。

漏洞影响:

泛微E-office协同办公系统存在文件读取漏洞,攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。

FOFA查询语句(点击直接查看结果):

((header=“general/login/index.php” || body=“/general/login/view//images/updateLoad.gif” || (body=“szFeatures” && body=“eoffice”) || header=“Server: eOffice”) && body!=“Server: couchdb”) || banner=“general/login/index.php”

此漏洞已可在Goby漏扫/红队版进行扫描验证

下载Goby:Goby社区版下载

查看Goby更多漏洞:Goby历史漏洞合集

关注Goby公众号获取最新动态:Gobysec

Gobysec
关注
专栏目录
E-office OA 平行越权漏洞复现
afei001
01-09 712
目录 1.漏洞概述 2.影响范围 3.漏洞等级 4.漏洞复现 5.漏洞分析 6.漏洞修复 1.漏洞概述 泛微e-office泛微公司面向中小型组织推出的OA产品,简单易用高效,部署快、投资少。提供免费试用体验。至今已为超过一万家客户提供方便高效的办公体验。但泛微e-office OA系统存在的漏洞还真不少。这个平行越权漏洞之前早就在乌云上爆出过了。 泛微E-office官网:w...
漏洞复现】泛微E-office OfficeServer.php 多个参数接口存在任意文件上传漏洞
最新发布
alert['Hello World']
10-17 413
泛微OA E-Office OfficeServer.php PUTFILE、SAVEASHTML、SAVEIMAGE 多个参数接口存在任意文件上传漏洞。攻击者可以通过这个漏洞上传恶意文件到服务器,从而获取服务器的控制权,以及在服务器上执行任意命令,访问敏感数据,甚至完全接管服务器,对系统的安全性构成严重威胁。
泛微 E-Office download.php 任意文件读取漏洞
CommputerMac的博客
10-21 520
泛微E-Office是一款企业级的全流程办公自动化软件,它包括协同办公、文档管理、知识管理、工作流管理等多个模块,涵盖了企业日常工作中的各个环节。泛微E-Office能够帮助企业实现全流程数字化、自动化,提高工作效率和管理质量,降低管理成本,为企业提供全面、高效、便捷的办公服务。该系统download.php存在任意文件下载漏洞,通过该漏洞攻击者可以下载服务上任意文件。burp发包读取host文件
泛微 e-office 10 某接口敏感信息泄露漏洞(未公开)
weixin_43167326的博客
08-16 1084
紫光电子档案管理系统是由紫光软件系统有限公司自主研发的通用档案管理系统,是一套具有先进性、安全性、前瞻性的综合档案管理平台。该系统存在任意文件上传漏洞,恶意用户可通过此漏洞进行上传一些具有威胁的文件,包含恶意脚本、程序等。
[zkaq靶场]命令执行--IBOS协同办公系统通杀漏洞
wwxxee
05-11 1928
命令执行 命令执行相关函数 system() 能够将字符串作为OS命令执行,自带输出功能。 exec() 将字符串作为OS命令执行,需要输出 shell_exec() 将字符串作为OS命令执行,需要输出 passthru() 能够将字符串作为OS命令执行,自带输出 popen() 将字符串作为OS命令执行,但是该函数返回一个文件指针。 反引号`` 反引号内的字符串也会被解析成OS命令。 靶场 本地测试 本期主角:ibos(一款协同办公系统) 版本:4.5.5 安装: 安装完成之后
【高危】泛微E-Cology FileDownloadForOutDoc 模块 SQL注入漏洞
murphysec的博客
07-24 719
泛微协同管理应用平台(e-cology)是一套企业大型协同管理平台。10.58.0 及之前版本中,未经身份验证的攻击者可通过sql注入获取目标系统数据库中的任意数据,进而获取系统权限。该漏洞Poc已公开,建议尽快更新补丁
泛微e-office download.php存在任意文件下载
2301_80115097的博客
03-28 440
泛微e-office系统是标准、易用、快速部署上线的专业协同OA软件,国内协同OA办公领域领导品牌,致力于为企业用户提供专业OA办公系统、移动OA应用等协同OA整体解决方案。
泛微E-Office10远程代码执行漏洞
05-06
泛微E-Office 10确实存在远程代码执行漏洞,这个漏洞**可能导致严重的安全后果**。 该漏洞的关键在于系统处理上传的PHAR文件时存在的缺陷。攻击者能够上传伪装的PHAR文件到服务器,利用PHP处理PHAR文件时自动进行的...
泛微 e-office 10 schema_mysql.sql文件存在敏感信息泄露 附POC
nnn2188185的博客
08-15 363
泛微 e-office 10 schema_mysql.sql文件存在敏感信息泄露 附POC
泛微e-office10to11升级包(适用10.0-20221012)
12-20
泛微协同办公平台e-office10 to e-office11升级包(适用10.0_20221012) 版本: 11.0_2022 发布日期: 2022-11-22 适合升级版本: 10.0_20221012版 注意事项: 1.标准升级程序包,不适用于做过二次开发的10.0系统,...
泛微e-office短信插件_泛微短信接口开发_e-office短信发送设置
02-11
泛微e-office短信插件设置指南 在泛微e-office V10.0版本中,设置短信发送功能需要通过泛微短信接口进行开发。下面将详细介绍泛微e-office短信插件的设置步骤和泛微短信接口的开发过程。 一、泛微e-office短信插件...
E-offce8.0注册机 泛微办公
11-10
E-offce8.0注册机 泛微办公,亲测可以用的.把webroot解压后,放到程序根目录下,然后访问,127.0.0.1/key8.0.php进行注册(127.0.0.1是你的网址)
漏洞报送】泛微E-Office存在SQL注入漏洞(CNVD-2022-43246)
axiom2020的博客
06-08 2119
近日,CNVD发布的安全公告内,上海泛微网络科技股份有限公司的产品E-Office存在SQL注入漏洞,攻击者可以通过该漏洞获取到数据库敏感信息。
泛微E-Office最新文件上传漏洞(CNVD-2021-49104)
swordheart的博客
12-02 4601
0x00 漏洞介绍 泛微e-office泛微旗下的一款标准协同移动办公平台。主要面向中小企业。该漏洞是由于 e-office 未能正确处理上传模块中用户输入导致的,攻击者可以构造恶意的上传数据包,实现任意代码执行。 0x01 漏洞版本 泛微 e-office v9.0 0x02 漏洞复现 poc如下 POST /general/index/UploadFile.php?m=uploadPicture&uploadType=eoffice_logo&userId= HTT...
泛微e-office download.php任意文件
zkaqlaoniao的博客
11-01 338
泛微e-office系统是标准、易用、快速部署上线的专业协同OA软件,国内协同OA办公领域领导品牌,致力于为企业用户提供专业OA办公系统、移动OA应用等协同OA整体解决方案。
泛微 E-Office 任意文件上传漏洞 CVE-2023-2648(漏洞复现)
LHBD_R的博客
06-21 3126
漏洞介绍:泛微 E-Office 9.5版本中文件上传处理程序接口uploadify.php参数Filedata的操作导致任意文件上传,攻击者可以通过远程控制接口上传恶意文件
泛微e-office系统敏感信息泄露漏洞
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
02-24 839
泛微e-office系统是标准、易用、快速部署上线的专业协同OA软件,国内协同OA办公领域领导品牌,致力于为企业用户提供专业OA办公系统、移动OA应用等协同OA整体解决方案。
某购物商城系统commodtiy接口处存在任意文件上传漏洞
weixin_43167326的博客
05-10 955
某购物商城系统commodtiy接口处存在任意文件上传漏洞,恶意攻击者可以上传恶意软件,例如后门、木马或勒索软件,以获取对服务器的远程访问权限或者破坏系统,对服务器造成极大的安全隐患。
泛微e-office协同办公功能概览与定制
泛微产品说明详细概述了协同办公标准版e-office的核心功能,它以一个全面的视角展示了如何通过门户管理、菜单管理、流程管理、知识文档管理、通信管理、信息中心和个人中心等功能,提升企业的内部协作效率和信息整合...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值