泛微 e-cology 前台任意文件上传漏洞预警
She11ud0 安全团队已复现该漏洞,该漏洞实际影响效果待定,以影响集群为主。
产品简介
泛微协同管理应用平台(e-cology)是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台,形成了一系列的通用解决方案和行业解决方案。
漏洞描述
泛微 e-cology 10.58.3 之前版本存在任意文件上传漏洞,由于上传接口身份认证缺失,未经过身份验证的攻击者可以构造恶意请求将文件上传至服务器,攻击者可能通过上传 jsp 文件,从而远程执行任意命令。
漏洞影响版本
e-cology9 并且 补丁版本 < 10.58.3
e-cology8 并且 补丁版本 < 10.58.3
漏洞修复
官方已发布修复建议,建议受影响的用户尽快升级至最新版本的补丁 v10.58.3。
下载地址:https://www.weaver.com.cn/cs/securityDownload.asp#
应急处理措施可将下列 URL 加入黑名单:
-END-
原文始发于微信公众号(She11ud0 安全团队):泛微 e-cology 前台任意文件上传漏洞预警
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论