产品介绍:
泛微协同管理应用平台E-Cology是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。
漏洞描述:
由于后台逻辑对 XXE 漏洞防护存在缺陷,导致远程未授权攻击者可绕过现有防护实现 XML 外部实体注入,最终可能造成敏感信息泄露,且进一步配合其他漏洞可能造成RCE等危害。
影响版本:
泛微 EC 9.x 且补丁版本 < 10.58.2
泛微 EC 8.x 且补丁版本 < 10.58.2
漏洞复现:
修复建议:
目前官方已发布10.58.2来修复此漏洞,建议受影响用户更新至10.58.2:
https://www.weaver.com.cn/cs/securityDownload.html#
原文始发于微信公众号(飓风网络安全):【漏洞复现】泛微E-Cology XML外部实体注入漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论