[poc] hw情报-泛微 e-cology v10 远程代码执行漏洞

漏洞介绍 (poc下载地址见最后)

    泛微披露了e-cology远程代码执行漏洞。该漏洞允许攻击者通过e-cology-10.0前台获取管理员访问令牌,然后利用JDBC反序列化,实现远程代码执行。

漏洞描述

   通过/papi/passport/rest/appThirdLogin接口获取管理员账号票据,根据该票据获取访问令牌,系统依赖 H2 数据库且有 JDBC 反序列化漏洞。该漏洞PoC已公开。建议受影响用户尽快修复。

受影响版本

e-cology-10.0

解决方案

 目前厂商官方已发布修复版本。建议客户升级安全补丁包至10.69及以上版本。

poc地址点击关注本公众号魔都安全札记,回复【240822】获取poc链接。

 

posted @   魔都安全札记  阅读(168)  评论(0编辑  收藏  举报
相关博文:
阅读排行:
· 一个费力不讨好的项目,让我损失了近一半的绩效!
· 实操Deepseek接入个人知识库
· CSnakes vs Python.NET:高效嵌入与灵活互通的跨语言方案对比
· Plotly.NET 一个为 .NET 打造的强大开源交互式图表库
· 【.NET】调用本地 Deepseek 模型
点击右上角即可分享
微信分享提示