Goby 漏洞发布|泛微 e-cology v10 appThirdLogin 权限绕过漏洞【漏洞复现】

漏洞名称:泛微 e-cology v10 appThirdLogin 权限绕过漏洞
English Name:Weaver e-cology v10 appThirdLogin Permission Bypass Vulnerability
CVSS core: 7.5

漏洞描述:

泛微新一代数字化运营构建平台E10,是基于原eteams平台之上全新研发,同时融合了原E9产品的所有功能,最终研发出全新平台。

其appThirdLogin接口及后续接口,存在Cookie伪造漏洞,未经授权的攻击者可以伪造Cookie,进行Cookie的相关利用,获取账户密码,登录后台,从而造成危害。

FOFA查询语句:

body=“/build/passport/static/js/lib.js” && body=“/build/ecodesdk/static/js/lib.js”

受影响资产数量: 534

受影响产品:

影响产品:E8和E9 (所有版本都需要升级此补丁包)

解决方案:

1、关注官方补丁发布信息,打上补丁:https://www.weaver.com.cn/cs/security/edm20240814_kdielfrovkewpiiuyrtewtw.html

2、升级到最新版本:
(1)手动升级
(2)用sysadmin登录oa系统,访问/security/monitor/Monitor.jsp,点击【环境信息】点击【下载并应用更新】,建议业务低峰期升级

漏洞检测工具:

【Goby】-资产绘测及实战化漏洞扫描工具,实战漏洞利用效果如图所示:

下载Goby:Goby下载

查看Goby更多漏洞:Goby历史漏洞合集

关注Goby公众号获取最新动态:Gobysec

posted @ 2024-08-22 09:58  gobysec  阅读(93)  评论(0编辑  收藏  举报