泛微OA系统远程命令执行漏洞复现

  • A+
所属分类:安全文章


0x01漏洞描述

泛微OA办公系统是一款协调办公软件。


泛微协同商务软件系统存在命令执行漏洞,攻击者可利用该漏洞获取服务器权限。


0x02漏洞危害

攻击者可以通过精心构造的请求包在受影响版本的泛微OA上进行远程代码执行。


0x03影响范围

泛微 e-cology<=9.0


0x04漏洞复现

漏洞路径: /weaver/bsh.servlet.BshServlet

泛微OA系统远程命令执行漏洞复现

访问后显示这样,点击按钮提交,神器burp抓包。将post内容替换先前的poc

泛微OA系统远程命令执行漏洞复现

泛微OA系统远程命令执行漏洞复现

泛微OA系统远程命令执行漏洞复现


                                                0x05 修复方式


泛微官方安全补丁:https://www.weaver.com.cn/cs/securityDownload.asp



本文始发于微信公众号(飓风网络安全):泛微OA系统远程命令执行漏洞复现

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: