泛微E-Office敏感信息泄露和未授权访问漏洞

已于 2023-08-03 09:19:00 修改
阅读量1.4k 收藏 1
点赞数
文章标签: 网络安全
于 2023-08-03 09:18:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43981050/article/details/132075712
版权

前言

此文章仅用于技术交流,严禁用于对外发起恶意攻击!!!

一、产品简介

泛微E-Office是一款标准化的协同 OA 办公软件,泛微协同办公产品系列成员之一,实行通用化产品设计,充分贴合企业管理需求,本着简洁易用、高效智能的原则,为企业快速打造移动化、无纸化、数字化的办公平台。

二、漏洞描述

该平台存在敏感信息泄露和未授权访问漏洞。

二、影响范围

Weaver E-Office

三、复现环境

FOFA:app=“泛微-EOffice”

四、漏洞复现

1.信息泄露:访问 ip:port/mysql_config.ini
在这里插入图片描述

2.未授权访问:访问 ip:port/UserSelect/
在这里插入图片描述

五、修复建议

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://service.e-office.cn/download

参考链接

弥天安全实验室

https://mp.weixin.qq.com/s/2SMO30Bqn-ygwk0qW_KpTg

明丨通
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
泛微OA_e-office标准版_使用手册
05-17
泛微OA_e-office标准版_使用手册
泛微 e-cology OA 远程代码执行漏洞复现(亲测有效)
热门推荐
花花的博客
12-09 1万+
你踩过的坑,我都填过,哇哈哈哈哈哈 0x00前言 整个环境搭下来,安装的东西有点多,遇到的问题也不少,说复杂,但是搭完感觉还好并不难。大家不要觉得很难懒得搭,一定要耐心一步一步的搭建。 0x01漏洞简介 1.漏洞成因 该漏洞位于 e-cology OA系统BeanShell组件中,并且该组件允许授权访问,攻击者可通过访问该组件执行任意的Java代码,也就是说可以执行任意命令 2. 影...
0day-泛微-eoffice-webservice-任意文件上传漏洞
weixin_43167326的博客
04-12 593
泛微e-office是一款功能强大的协同办公系统,旨在为企业和组织提供高效、便捷的办公环境。该系统以其智能化、平台化和全程电子化的特点,受到了众多用户的青睐。泛微e-office具备丰富的业务场景应用,可以满足人事、行政、财务、销售、运营、市场等不同部门的协作需求。通过一键导入各类表单模板、流程模板等功能,用户可以快速实现费控管理、合同管理、订单管理、项目管理等办公目标。同时,系统还提供了个性应用可视化构建的功能,用户无需代码基础,即可像搭积木一样完成新应用的构建,轻松应对各种管理场景。
泛微 e-office v9.0任意文件上传漏洞(CNVD-2021-49104)
Ms08067安全实验室
12-14 5974
文章来源|MS08067 Web安全知识星球本文作者:Taoing(Web漏洞挖掘班讲师)参考:https://cnvd.org.cn/flaw/show/CNVD-2021-49104 ...
【复现】泛微-EOfficeOA信息泄露漏洞_41
fushuang333的博客
02-06 766
【复现】泛微-EOfficeOA信息泄露漏洞授权导致一些敏感配置信息泄露,可能造成系统危害以及重要信息泄露
CVE-2023-2766:泛微E-Office信息泄露漏洞复现 [附POC]
薛定谔嘚喵博客
11-14 1556
Weaver E-Office 9.5版本存在configfile存在信息泄露。攻击者利用该漏洞可以访问文件或目录。
(php)泛微E-Office文件上传漏洞(原理分析+复现+批量检测)
叶子的Blog
12-03 6481
漏洞描述 泛微e-office泛微旗下的一款标准协同移动办公平台。 CNVD-2021-49104 由于 e-office 能正确处理上传模块中的用户输入,攻击者可以通过该漏洞构造恶意的上传数据包,最终实现任意代码执行。 该漏洞CVSS评分:9.0,危害等级:高危 FOFA 查询 app="泛微-EOffice" 影响范围 影响版本:泛微e-office V9.0 代码分析 出现问题的代码在/general/index/UploadFile.php文件中,具体位置是 if ($u
泛微e-office10to11升级包(适用10.0-20221012)
12-20
泛微协同办公平台e-office10 to e-office11升级包(适用10.0_20221012) 版本: 11.0_2022 发布日期: 2022-11-22 适合升级版本: 10.0_20221012版 注意事项: 1.标准升级程序包,不适用于做过二次开发的10.0系统,...
泛微E-Office10远程代码执行漏洞
最新发布
05-06
泛微E-Office 10确实存在远程代码执行漏洞,这个漏洞**可能导致严重的安全后果**。 该漏洞的关键在于系统处理上传的PHAR文件时存在的缺陷。攻击者能够上传伪装的PHAR文件到服务器,利用PHP处理PHAR文件时自动进行的...
泛微e-office短信插件_泛微短信接口开发_e-office短信发送设置
02-11
泛微e-office短信插件_泛微短信接口开发_e-office短信发送设置
最新泛微E-office10.5 泛微Eoffice V10.5 泛微E-office10.0 Eoffice10.0 泛微E-offic95 泛微Eoffice9.0 8.0 泛微行政事业V10.0-附件资源
03-02
最新泛微E-office10.5 泛微Eoffice V10.5 泛微E-office10.0 Eoffice10.0 泛微E-offic95 泛微Eoffice9.0 8.0 泛微行政事业V10.0-附件资源
泛微OA协同办公平台E-office7.8 含注册机
01-11
泛微OA协同办公平台 E-office7.8 含注册机==完美无限制 OA办公平台
泛微e-officev10.0_20220809标准补丁(适用于v10.0_20180119及以上版本)
08-26
版本: 10.0_20220809 发布日期: 2022-08-10 适合升级版本: 10.0_20180119版 说明: 补丁包是累计的,故20220809版本包含...2. 登录升级的系统,单击窗口右上角【版本信息】查看必须是【10.0_20180119】及以上版本:
某 E-Office v9 任意文件上传漏洞复现实战
blackpink01的博客
02-11 2715
本次复现漏洞公开漏洞 CNVD-2021-49104,该漏洞是由于 e-office 其上传模块中用户输入部分能妥善处理,攻击者可以构造恶意的上传数据包,实现任意代码执行。
漏洞复现】泛微ecology OA系统某接口存在数据库配置信息泄露漏洞
Summer's blog
05-13 1万+
泛微ecology OA系统某接口存在数据库配置信息泄露漏洞,复现的时候踩到的那些坑!经验分享与总结。
泛微E-Office前台文件读取漏洞
CommputerMac的博客
10-07 315
泛微E-Office是一款企业级的全流程办公自动化软件,它包括协同办公、文档管理、知识管理、工作流管理等多个模块,涵盖了企业日常工作中的各个环节。泛微E-Office能够帮助企业实现全流程数字化、自动化,提高工作效率和管理质量,降低管理成本,为企业提供全面、高效、便捷的办公服务。泛微E-Office前台文件读取漏洞。浏览器直接访问返回如下。
漏洞复现--泛微E-Office前台文件读取漏洞
qq_53003652的博客
10-08 323
泛微E-Office是一款企业级的全流程办公自动化软件,它包括协同办公、文档管理、知识管理、工作流管理等多个模块,涵盖了企业日常工作中的各个环节。在该产品前台登录页存在文件读取漏洞。app=“泛微-EOffice
泛微E-Office前台文件上传漏洞
失心少年
06-20 810
我们在第108行调用doc2text(),然后追溯到doc2txt()参数$FILE_PATH的源,连接附件目录(C:\eoffice9\webroot\ATTACHMENT) 的数据表FLE_CONTENT中ATTACHMENT_ID和ATTACHMENT_NAME列的值,以获得完整的文件路径。天擎攻防实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。
泛微e-office 授权访问漏洞复现
qq_18193739的博客
10-24 356
泛微e-office是一种企业办公自动化软件解决方案,由中国的泛微网络科技股份有限公司开发和提供。它旨在帮助企业提高办公效率、优化业务流程和信息管理。泛微e-office存在授权访问,攻击者可以访问页面获取敏感信息,可获取数据库账户密码。
泛微e-office10本地升级
01-30
泛微e-office10是一款优秀的办公自动化软件,其本地升级操作非常简单。首先,我们需要下载最新的e-office10升级包,通常可以在官方网站或相关论坛获取。接着,我们需要备份好原有的e-office10数据,以防止升级过程中出现意外情况导致数据丢失。然后,我们运行升级包,按照界面提示进行操作,通常只需要点击几次“下一步”即可完成升级过程。等待片刻后,系统会自动完成升级,并提示我们重新启动e-office10软件。最后,我们可以打开软件,确认升级是否成功,通常会显示软件版本号已经更新。需要注意的是,在升级过程中,一定要保持电脑网络连接稳定,防止升级失败。总的来说,泛微e-office10的本地升级非常方便快捷,只需要简单的几个步骤就能完成,而且升级后的新版本通常会带来更好的功能和性能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值