01 漏洞概况
近日, 微步在线捕获泛微 e-office 上传漏洞在野利用:
经微步工程师分析,该漏洞为未公开漏洞 CNVD-2021-49104,该漏洞是由于 e-office 未能正确处理上传模块中用户输入导致的,攻击者可以构造恶意的上传数据包,实现任意代码执行。如下为官方修复漏洞后的代码片段:
上图红色方框标注的即为补丁中新增的校验代码,可以看到对于上传文件后缀名进行了白名单校验,由于该漏洞利用门槛低危害较大,建议使用了相关系统的机构组织立即修复该漏洞。
此次受影响泛微 e-office 版本如下:
|
泛微e-office 版本 |
是否受影响 |
|
V9.0 |
是 |
02 漏洞评估
公开程度:微步首次捕获在野利用
利用条件:无权限要求
交互要求:0 click
漏洞危害:高危、远程代码执行
影响范围:泛微 e-office v9.0
03 修复方案
1. 官方通告:https://cnvd.org.cn/flaw/show/CNVD-2021-49104
2. 微步在线 TDP 产品无需更新即可支持该漏洞检测
04 时间线
2021.08.13 CNVD 收录该漏洞
2021.11.23 微步首次捕获该漏洞在野利用
原文始发于微信公众号(微步在线研究响应中心):泛微e-office未公开高危漏洞在野被广泛利用,企业需立即自查!
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论