摘要:
## 漏洞简介 2023年05月15日,泛微官方发布10.57.2版本安全补丁。其中修复了两个漏洞,分别是信息泄漏和任意用户登录漏洞,两个漏洞可以被攻击者组合起来利用,从而能够使攻击者进入到系统后台。 ## 影响版本 在 `9.00.2110.01`以及之前的版本是不受该漏洞的影响的,在 `9.00 阅读全文
摘要:
## 漏洞简介 泛微e-cology9存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。 ## 影响版本 泛微e-cology V9<10.56 ## 漏洞复现 fofa语法:`app="泛微-协同商务系统"` 登录页面: ![](https://img2023.cnblogs.com/bl 阅读全文
摘要:
## 漏洞概述 泛微e-cology某处功能点最初针对用户输入的过滤不太完善,导致在处理用户输入时可触发XXE。后续修复规则依旧可被绕过,本次漏洞即为之前修复规则的绕过。攻击者可利用该漏洞列目录、读取文件,甚至可能获取应用系统的管理员权限。 ## 影响版本 泛微 EC 9.x 且补丁版本 &send 阅读全文
摘要:
## 漏洞简介 2019年10月10日CNVD发布了泛微e-cology OA系统存在SQL注入漏洞。该漏洞是由于OA系统的WorkflowCenterTreeData接口中涉及Oracle数据库的SQL语句缺乏安全检查措施所导致的,任意攻击者都可借SQL语句拼接时机注入恶意payload,造成SQ 阅读全文
摘要:
## 漏洞描述 泛微OA E-cology user.data允许任意用户下载,获取OA中的敏感信息 ## 漏洞影响 泛微OA E-cology ## 漏洞复现 fofa语法:`app="泛微-协同商务系统"` 登录页面: ![](https://img2023.cnblogs.com/blog/2 阅读全文
摘要:
## 漏洞描述 E-cology易受Springframework本地文件包含漏洞 ## 漏洞复现 fofa语法:`app="泛微-协同办公OA"` 登录页面如下: ![](https://img2023.cnblogs.com/blog/2541080/202309/2541080-2023090 阅读全文
摘要:
## 漏洞简介 泛微e-cology是专为大中型企业制作的OA办公系统,支持PC端、移动端和微信端同时办公等。 泛微e-cology存在SQL注入漏洞。攻击者可利用该漏洞获取敏感信息。 ## 漏洞影响 泛微e-cology 8.0 ## 漏洞复现 fofa语法:`app="泛微-协同办公OA"` 登 阅读全文
摘要:
## 漏洞简介 泛微OA E-Cology HrmCareerApplyPerView.jsp 文件存在SQL注入漏洞,攻击者通过漏洞可以获取服务器数据库敏感文件 ## 影响版本 泛微OA E-Cology v8.0 ## 漏洞复现 fofa语法:`app="泛微-协同办公OA"` 登录页面如下: 阅读全文
摘要:
## 漏洞描述 泛微OA V8存在前台sql注入漏洞,攻击者可以通过该漏洞获取管理员权限和服务器权限。 ## 影响版本 泛微OA V8 ## 漏洞复现 fofa语法:`app="泛微-协同办公OA"` POC: ``` /js/hrm/getdata.jsp?cmd=getSelectAllId&s 阅读全文
摘要:
## 漏洞简介 泛微e-cology未对用户的输入进行有效的过滤,直接将其拼接进了SQL查询语句中,导致系统出现SQL注入漏洞。远程未授权攻击者可利用此漏洞获取敏感信息,进一步利用可能获取目标系统权限等。 ## 影响版本 Ecology 9.x 补丁版本 < 10.58.0;Ecology 8.x 阅读全文