泛微OA E-Cology ResourceServlet接口存在任意文件读取漏洞 附POC

最新推荐文章于 2024-07-09 08:37:33 发布
最新推荐文章于 2024-07-09 08:37:33 发布
阅读量130 收藏
点赞数
分类专栏: 漏洞复现 文章标签: 网络安全 安全性测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nnn2188185/article/details/139143971
版权

免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

1. 泛微OA E-Cology简介

微信公众号搜索:南风漏洞复现文库 该文章 南风漏洞复现文库 公众号首发

泛微e-cology依托全新的设计理念,全新的管理思想为中大型组织创建全新的高效协同办公环境。

2.漏洞描述

泛微e-cology依托全新的设计理念,全新的管理思想。 为中大型组织创建全新的高效协同办公环境。 智能语音办公,简化软件操作界面。 身份认证、电子签名、电子签章、数据存证让合同全程数字化。泛微OA E-Cology ResourceServlet接口存在任意文件读取漏洞

CVE编号:

CNNVD编号:

CNVD编号:

3.影响版本

泛微e-cology

图片

4.fofa查询语句

app="泛微-OA(e-cology)"

5.漏洞复现

漏洞链接:http://xxx.xxx.xxx.xxx/weaver/org.springframework.web.servlet.ResourceServlet?resource=/WEB-INF/prop/weaver.properties

漏洞数据包:

GET /weaver/org.
了解本专栏 订阅专栏 解锁全文 超级会员免费看
sublime88
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
六零导航页file.php接口存在任意文件上传漏洞
nnn2188185的博客
05-22 126
六零导航页file.php接口存在任意文件上传漏洞
六零导航页 file.php 任意文件上传漏洞复现(CVE-2024-34982)
0xSec
05-18 853
六零导航页 file.php接口任意文件上传漏洞,未经身份攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个web服务器。
漏洞复现】OA E-Cology getE9DevelopAllNameValue2 任意文件读取漏洞
凝聚力安全团队
06-20 260
e-cology是一款由网络科技开发的协同管理平台,支持人力资源、财务、行政等多功能管理和移动办公解决方案。e-cology平台提供了一系列协同办公工具,包括在线办公应用、文档管理、任务管理、日程安排、电子邮件和即时通讯等。
未公开 GeoServer开源服务器wfs远程命令执行漏洞 已复现(CVE-2024-36401)
小司机的奥拓
07-03 713
资源分享包含但不限于网上未公开的day漏洞(更新漏洞POC共500+),2024最新企业SRC/CNVD/Edu实战挖掘技巧报告,红队内网横向渗透,代码审计,JS逆向,SRC培训等课程。
漏洞复现】e-cology——resourceservlet——任意文件读取
最新发布
LongL_GuYu的博客
07-09 421
e-cology是一款由网络科技开发的协同管理平台,支持人力资源、财务、行政等多功能管理和移动办公解决方案。其`resourceservlet`接口存在任意文件读取漏洞,未授权攻击者可以利用其读取网站配置文件等敏感信息。
通天星CMSV6车载定位监控平台 SQL注入漏洞复现(XVE-2023-23744)
qq_39894062的博客
04-02 194
请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。
OA xmlrpcServlet接口任意文件读取漏洞(CNVD-2022-43245)
12-25
OA xmlrpcServlet接口任意文件读取漏洞(CNVD-2022-43245),可以指定文件路径进行读取,并提供检测方案
OA e-cology8最新h5补丁
06-01
由于Flash已经停止更新,存在安全隐患且不被多数现代浏览器支持,所以此补丁的发布对于用户来说尤为重要,它确保了OA e-cology8系统的稳定运行,并提升了移动设备上的使用体验。 【标签】"OA"代表办公自动化,...
OA e-cology 8 最新webservice接口文档
12-11
OA e-cology 8 最新webservice接口文档摘要 OA e-cology 8 最新webservice接口文档提供了一系列的webservice接口,用于对系统中的文档进行操作,包括创建文档、删除文档、更新文档、查看文档等。这些接口...
OA 9.0 e-cology9.0 数据字典
07-06
版本升级.zip 表单建模.zip 财务管理.zip 车辆管理.zip 短信模块.zip 工作流程.zip 工作博.zip 公文管理.zip 会议管理.zip 即时通讯-EMESSAGE.zip 集成模块.zip 客户管理.zip 门户管理.zip ...workflow
OA E-cology字段联动.rar
09-09
本压缩包文件OA E-cology字段联动.rar”聚焦于该系统中的一个关键特性——字段联动,这是一种通过编程逻辑将不同字段之间的数据关联起来的技术,以提高数据输入的准确性和效率。这里我们将深入探讨字段联动的...
0day E-Cology-Rest-存在任意文件读取漏洞
weixin_43167326的博客
04-12 974
任意文件读取漏洞(Arbitrary File Read Vulnerability)是一种安全漏洞,它允许攻击者读取应用程序服务器上的文件,而这些文件在正常情况下不应该被外界访问。这种类型的漏洞通常是由不当的输入验证或不安全的文件操作功能引起的。利用此类漏洞,攻击者可能能够访问敏感信息,如配置文件、密码存储文件、数据库备份,甚至是执行代码的能力,如果能够读取服务器上的特定脚本或程序代码的话。
漏洞复现】OA E-cology8 SptmForPortalThumbnail.jsp 任意文件读取漏洞
凝聚力安全团队
06-19 370
新一代移动办公平台e-cology不仅组织提供了一体化的协同工作平台,将组织事务逐渐实现全程电子化,改变传统纸质文件、实体签章的方式。 e-cology8 的 SptmForPortalThumbnail.jsp 文件中的 preview 未进行安全过滤,攻击者可通过该漏洞读取泄露源码、数据库配置文件等等,导致网站处于极度不安全状态。
漏洞复现】OA E-Cology ln.FileDownload 任意文件读取漏洞
凝聚力安全团队
06-18 425
e-cology是一款由网络科技开发的协同管理平台,支持人力资源、财务、行政等多功能管理和移动办公解决方案。e-cology平台提供了一系列协同办公工具,包括在线办公应用、文档管理、任务管理、日程安排、电子邮件和即时通讯等。OA ln.FileDownload 接口存在任意文件读取漏洞,攻击者通过漏洞可以获取服务器任意文件。。
漏洞复现】通天星CMSV6——pointManage——SQL注入
LongL_GuYu的博客
06-25 623
通天星CMSV6小于7.33.0.7版本存在接口pointManage存在注入漏洞,攻击者可写入恶意文件从而获取系统控制权。
漏洞复现】六零导航页 _include_file.php 任意文件上传漏洞
凝聚力安全团队
06-16 760
六零导航页/include/file.php接口存在任意文件上传漏洞,攻击者可以通过漏洞上传任意文件甚至木马文件,从而获取服务器权限。
漏洞复现】OA E-Cology ResourceServlet文件读取漏洞
晚风不及你
05-14 573
OA E-Cology ResourceServlet存在任意文件读取漏洞,允许未经授权的用户读取服务器上的敏感配置文件
GeoServer发布地图服务(WMS、WFS)
人生海海 山山而川
01-07 3734
详细论述了使用GeoServer发布地图服务WMS和WFS的过程。
六零导航页SQL注入漏洞复现(CVE-2023-45951)
0xSec
10-26 1791
LyLme Spage v1.7.0版本存在安全漏洞,该漏洞源于通过function.php的$userip参数发现包含 SQL 注入漏洞,未经授权的攻击者可通过该漏洞获取敏感信息,进一步利用可造成主机失陷。
oa e-cology v9 browser.jsp sql注入漏洞
09-15
OA E-Cology V9是一款常用的企业办公自动化系统,该系统的browser.jsp页面存在SQL注入漏洞。SQL注入是一种常见的网络攻击技术,攻击者可以通过构造恶意的SQL语句来绕过系统的认证和授权机制,进而获取敏感数据...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

sublime88

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值