【漏洞复现】万户OA-ezOFFICE fileUpload.controller 任意文件上传漏洞

已于 2024-10-15 14:47:12 修改
阅读量716 收藏 4
点赞数 8
分类专栏: 漏洞复现 文章标签: web渗透 渗透测试 漏洞 web web安全 web漏洞
于 2024-07-27 09:44:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41924764/article/details/140726225
版权

免责声明:

        本文内容旨在提供有关特定漏洞或安全漏洞的信息,以帮助用户更好地了解可能存在的风险。公布此类信息的目的在于促进网络安全意识和技术进步,并非出于任何恶意目的。阅读者应该明白,在利用本文提到的漏洞信息或进行相关测试时,可能会违反某些法律法规或服务协议。同时,未经授权地访问系统、网络或应用程序可能导致法律责任或其他严重后果。作者不对读者基于本文内容而产生的任何行为或后果承担责任。读者在使用本文所提供的信息时,必须遵守适用法律法规和相关服务协议,并独自承担所有风险和责任。如有侵权,请联系删除。

漏洞描述

万户OA-ezOFFICE fileUpload.controller 文件存在一个任意文件上传漏洞。攻击者可以通过这个漏洞上传恶意文件到服务器,从而获取服务器的控制权,以及在服务器上执行任意命令,访问敏感数据,甚至完全接管服务器,对系统的安全性构成严重威胁。

网络空间测绘

Fofa

app=
了解本专栏 订阅专栏 解锁全文 超级会员免费看
0x0000001
关注
专栏目录
订阅专栏
漏洞复现】泛微OA E-Cology getdata.jsp SQL注入漏洞
alert['Hello World']
07-18 636
泛微OA E-Cology getdata.jsp 接口存在一个 SQL 注入漏洞,通过这个漏洞可以操纵服务器的数据库。这意味着不法分子可以利用这个漏洞来获取对数据库的完全控制权,从而查看、修改甚至删除数据库中的数据,严重威胁系统的安全性。
赛蓝企业管理系统GetJSFile存在任意文件读取漏洞
xiaokp7的博客
07-24 147
赛蓝企业管理系统GetJSFile存在任意文件读取漏洞,攻击者可通过该漏洞获取敏感信息。
万户OA ezOffice RhinoScriptEngineService 命令执行漏洞-1day未公开漏洞
weixin_43167326的博客
02-26 575
万户OA RhinoScriptEngineService接口存在命令执行漏洞,此漏洞可能导致攻击者获取系统权限、执行任意命令,严重威胁系统的机密性和完整性。
万户OA-ezOFFICE fileUpload.controller 任意文件上传漏洞复现
iSee857的博客
09-28 623
万户OA-ezOFFICE fileUpload.controller中存在一个 任意文件上传漏洞,通过这个漏洞可以操纵任意文件的写入。这意味着不法分子可以利用这个漏洞来上传任意可执行性文件用于远程系统执行、数据获取、系统接管等,严重威胁系统的安全性。万户ezOFFICE存在任意文件上传漏洞。攻击者可以通过该远程下载任意文件到目标服务器,导致攻击者可获取服务器控制权限。Fofa:app="万户ezOFFICE协同管理平台" || app="万户网络-ezOFFICE"上传成功后拼接下列接口进行访问。
漏洞预警】泛微E-Cology ofsLogin任意用户登陆漏洞
做自己喜欢的事,并将其发挥到极致!
05-17 5613
泛微e-cology是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。泛微e-cology前台任意用户登录漏洞:泛微e-cology9部分版本中存在前台任意用户登录漏洞。该漏洞允许未经身份验证的攻击者通过发送构造的请求触发漏洞,成功利用此漏洞的攻击者可登录任意用户。
漏洞复现」时空智友ERP系统updater.uploadStudioFile 任意文件上传漏洞
qq_39894062的博客
06-30 903
请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责!!!
【高危】泛微 e-cology9 存在任意用户登录漏洞
murphysec的博客
06-07 3668
墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自百度、华为、乌云等企业,公司为客户提供完整的软件供应链安全管理平台,围绕SBOM提供软件全生命周期的安全管理,平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。产品可以极低成本的和现有开发流程中的各种工具一键打通,包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。将组件 e-cology9 升级至 10.57.2 及以上版本。
漏洞复现万户-ezOFFICE download_ftp.jsp 任意文件下载漏洞
alert['Hello World']
06-22 496
万户OA-ezOFFICE download_ftp.jsp 接口存在任意文件读取漏洞,未经身份认证的攻击者可利用此漏洞获取服务器内部敏感文件,使系统处于极不安全的状态。万户软件网络是业内普遍认可的智慧政务办公专家,OA系统国家行业标准编制组长单位,协同软件国家行业标准编制组长单位,22年专注协同管理领域.为您提供定制化的智慧政务一体化办公解决方案。
万户ezOFFICE fileUpload.controller接口任意文件上传
weixin_43567873的博客
03-05 261
万户ezOFFICE fileUpload.controller接口存在任意文件上传
漏洞复现万户OA-ezOFFICE upload.jsp 任意文件上传漏洞
最新发布
alert['Hello World']
10-14 196
万户OA-ezOFFICE upload.jsp 文件存在一个任意文件上传漏洞。攻击者可以通过这个漏洞上传恶意文件到服务器,从而获取服务器的控制权,以及在服务器上执行任意命令,访问敏感数据,甚至完全接管服务器,对系统的安全性构成严重威胁。
漏洞复现万户-ezOFFICE DownloadServlet 任意文件下载漏洞
alert['Hello World']
06-21 391
万户OA-ezOFFICE DownloadServlet 接口存在任意文件读取漏洞,未经身份认证的攻击者可利用此漏洞获取服务器内部敏感文件,使系统处于极不安全的状态。万户软件网络是业内普遍认可的智慧政务办公专家,OA系统国家行业标准编制组长单位,协同软件国家行业标准编制组长单位,22年专注协同管理领域.为您提供定制化的智慧政务一体化办公解决方案。
x微E-Cology WorkflowServiceXml RCE1
08-03
x微E-Cology WorkflowServiceXml RCEx 微 E-Cology WorkflowServiceXml RCEx 微 E-Cology
Goby漏洞更新 | NUUO NVR 摄像机 __debugging_center_utils___.php 命令执行漏洞(CVE-2016-5674)
m0_46699477的博客
04-07 494
(CVE-2016-5674) NUUO Network Video Recorder(NVR)是中国台湾NUUO公司的一款网络视频记录器。NUUO NVR视频存储管理设备__debugging_center_utils___.php存在未授权远程命令执行漏洞,攻击者可在没有任何权限的情况下通过log参数执行任意PHP代码,从而入侵服务器,获取服务器的管理员权限。
【攻防演练】【含poc和修复建议】SuiteCRM responseEntryPoint SQL 注入漏洞
zzxx191z的博客
07-27 366
使用防护类设备进行防护,拦截请求中出现的恶意 SOL语句。
漏洞复现】泛微OA E-Cology HrmCareerApplyPerView SQL注入漏洞
晚风不及你
05-15 729
泛微OA E-Cology HrmCareerApplyPerView存在SQL注入漏洞,允许攻击者非法访问和操作数据库,可能导致数据泄露、篡改、删除,甚至控制整个服务器
漏洞复现】E-Cology OA——WorkflowServiceXml——SQL注入
LongL_GuYu的博客
07-20 834
E-Cology OA协同商务系统是一款面向中大型组织的数字化办公产品,它基于全新的设计理念和管理思想,旨在为中大型组织创建一个全新的高效协同办公环境。其WorkflowServiceXml接口存在sql注入,恶意攻击者可能会向数据库发送构造的恶意SQL查询语句,以获取数据库敏感信息、修改数据或者执行其他恶意操作,还有可能直接通过sql注入获取服务器权限。
万户 ezOFFICE DocumentEdit.jsp SQL注入漏洞复现
0xSec
12-10 1344
万户 ezOFFICEDocumentEdit.jsp 存在SQL注入漏洞。由于'DocumentID'参数缺乏过滤,允许攻击者利用漏洞获取数据库敏感信息。
漏洞复现】时空智友ERP——uploadStudioFile——任意文件上传
LongL_GuYu的博客
07-10 848
时空智友ERP是专为医药等行业设计的综合性企业资源规划系统,融合云计算和移动技术,支持多组织管理。。其uploadStudioFile接口存在任意文件上传漏洞,攻击者可通过该漏洞上传任意文件到服务器上,包括木马后门文件,导从而获取服务器权限。
1day!!!金和OA viewConTemplate.action RCE漏洞-未公开
weixin_43167326的博客
03-14 396
金和OA协同办公管理系统软件(简称金和OA),本着简单、适用、高效的原则,贴合企事业单位的实际需求,实行通用化、标准化、智能化、人性化的产品设计,充分体现企事业单位规范管理、提高办公效率的核心思想,为用户提供一整套标准的办公自动化解决方案,以帮助企事业单位迅速建立便捷规范的办公环境。
万户 ezoffice 文件上传漏洞复现
12-17
万户ezoffice是一个办公软件,用于处理各种办公文档。文件上传漏洞是指系统存在一个安全漏洞,允许攻击者在上传文件时注入恶意代码或者上传非法文件到服务器中。这个问题的产生可能是开发过程中没有充分考虑安全性,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

0x0000001

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值