2023年7月31日01:18:32评论144 views字数 510阅读1分42秒阅读模式

泛微 e-cology 前台任意文件上传漏洞预警

She11ud0 安全团队已复现该漏洞，该漏洞实际影响效果待定，以影响集群为主。

产品简介

泛微协同管理应用平台(e-cology)是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台，形成了一系列的通用解决方案和行业解决方案。

泛微 e-cology 10.58.3 之前版本存在任意文件上传漏洞，由于上传接口身份认证缺失，未经过身份验证的攻击者可以构造恶意请求将文件上传至服务器，攻击者可能通过上传 jsp 文件，从而远程执行任意命令。

e-cology9 并且补丁版本 < 10.58.3

e-cology8 并且补丁版本 < 10.58.3

官方已发布修复建议，建议受影响的用户尽快升级至最新版本的补丁 v10.58.3。

下载地址：https://www.weaver.com.cn/cs/securityDownload.asp#

应急处理措施可将下列 URL 加入黑名单：

-END-

原文始发于微信公众号（She11ud0 安全团队）：泛微 e-cology 前台任意文件上传漏洞预警

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。