在野利用漏洞!!泛微E-Office文件上传漏洞(CNVD-2021-49104)

1#漏洞简介
泛微e-office是泛微旗下的一款标准协同移动办公平台。

近日,网络上出现 泛微E-Office 文件上传漏洞(CNVD-2021-49104)在野利用事件,由于 e-office 未能正确处理上传模块中的用户输入,攻击者可以通过该漏洞构造恶意的上传数据包,最终实现任意代码执行。

2#影响版本
泛微e-office V9.0

3#漏洞详情
该漏洞CVSS评分:9.0,危害等级:高危
CNVD 编号:CNVD-2021-49104

FOFA 查询语句
app="泛微-EOffice"
4#漏洞复现
用Fofa直接找到用泛微-EOffice搭建的资产

向Web目标发送构造好的数据包

得到响应,如果是****.php那就说明利用成功。实际情况中,团队成员测试后,还会出现返还数字3、空白以及返回404,推测是以及被应急响应过了,无法被该在野漏洞利用

最后,访问写入的php即可执行

5#应急修复建议
厂商已提供漏洞修补方案,建议用户下载使用:http://v10.e-office.cn/eoffice9update/safepack.zip
本博客所有文章如无特别注明均为原创。作者:渊龙Sec团队复制或转载请以超链接形式注明转自 渊龙Sec安全团队博客
原文地址《在野利用漏洞!!泛微E-Office文件上传漏洞(CNVD-2021-49104)
分享到:更多

相关推荐

发表评论

路人甲 表情
看不清楚?点图切换 Ctrl+Enter快速提交

网友评论(0)