F8-1泛微-E-Office-PermissionAC 漏洞描述: 泛微E-Office是泛微旗下的一款标准协同移动办公平台。泛微E-Office /UserSelect/存在未授权访问漏洞。 网站图片: 网络测绘: Hunter 语法: hunterapp.name=“泛微 e-office O
F7-1泛微-E-message-任意文件读取 漏洞描述: 泛微 emessage 管理界面存在任意文件读取漏洞隐患,攻击者可通过此漏洞获取敏感信息,为下一步攻击做准备。 网站图片: 网络测绘: Hunter 语法: hunterapp.name==“emessage” 漏洞复现: payload:
F6-15泛微-E-Cology-SQL 漏洞描述: 泛微E-Cology BlogService 接口存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务
F6-14泛微-E-Cology-RCE 漏洞描述: 泛微Ecology-10.0存在远程代码执行漏洞,该漏洞通过Ecology-10.0获取管理员访问令牌,然后通过JDBC反序列化和实现RCE,系统必须依赖于 H2 数据库,该POC来自于网络,自行判断。 漏洞复现: 1.获取serviceTick
F6-13泛微-E-Cology-InformationLeakage fofa语法: app=“泛微-协同办公OA” 漏洞复现: payload: GET /cloudstore/ecode/setup/ecology_dev.zip HTTP/1.1 Host: {{Hostname}} U
F6-11泛微-E-Cology-SQL 漏洞描述: 该漏洞是由于泛微e-cology未对用户的输入进行有效的过滤,直接将其拼接进了SQL查询语句中,导致系统出现 SQL 注入漏洞。 影响版本: 泛微E-Cology9 < 10.65.0 fofa语法: app=“泛微-OA(e-cology)”
F6-12泛微-E-Cology-SQL 漏洞描述: 泛微e-cology是一款由泛微网络科技开发的协同管理平台,支持人力资源、财务、行政等多功能管理和移动办公。泛微e-cology系统HrmService前台存在SQL注入漏洞。 fofa语法: app=“泛微-协同商务系统” 漏洞复现: payl
F6-10泛微-E-Cology-SQL 漏洞描述: 泛微E-Cology OA协同商务系统/services/WorkflowServiceXml接口存在SQL注入漏洞,攻击者可以通过漏洞获取服务器内敏感信息导致信息泄露,甚至通过漏洞写入木马病毒获取服务器权限。 fofa语法: app=“泛微-O
F6-10泛微-E-Cology-PermissionAC 漏洞描述: 泛微e-cology 8.0全版本,e-cology 9.0 && 安全补丁<v10.62 存在任意文件写入漏洞。恶意攻击者可以利用该漏洞写入任意文件,从而远程执行任意代码,获取系统权限。 影响版本: e-cology 8.0全
F6-9泛微-E-Cology-任意文件读取 漏洞描述: 泛微e-cology某处功能点最初针对用户输入的过滤不太完善,导致在处理用户输入时可触发XXE。后续修复规则依旧可被绕过,本次漏洞即为之前修复规则的绕过。攻击者可利用该漏洞列目录、读取文件,甚至可能获取应用系统的管理员权限。 影响版本: 泛微
F6-8泛微-E-Cology-SQL 漏洞描述: 由于e-cology OA对用户输入内容的验证存在缺陷。未经身份验证的远程攻击者通过向目标系统发送特制的字符串,最终可实现获取目标数据库中的敏感信息。(SQL注入) 影响版本: 泛微e-cology V9<10.56 网站图片: 网络测绘: fof
F6-7泛微-E-Cology-SQL 漏洞描述: 泛微e-cology是一款由泛微网络科技开发的协同管理平台,支持人力资源、财务、行政等多功能管理和移动办公。 泛微e-cology FileDownloadForOutDoc 未对用户的输入进行有效的过滤,直接将其拼接进了SQL查询语句中,导致系统
F6-6泛微-E-Cology-XXE 漏洞描述: 泛微e-cology某处功能点最初针对用户输入的过滤不太完善,导致在处理用户输入时可触发XXE。后续修复规则依旧可被绕过,本次漏洞即为之前修复规则的绕过。攻击者可利用该漏洞列目录、读取文件,甚至可能获取应用系统的管理员权限。 影响版本: 泛
F6-5泛微-E-Cology-XXE 漏洞描述: 泛微e-cology某处功能点最初针对用户输入的过滤不太完善,导致在处理用户输入时可触发XXE。后续修复规则依旧可被绕过,本次漏洞即为之前修复规则的绕过。攻击者可利用该漏洞列目录、读取文件,甚至可能获取应用系统的管理员权限。 影响版本: 泛
F6-4泛微-E-Cology-任意文件读取 漏洞描述: 泛微e-cology XmlRpcServlet接口处存在任意文件读取漏洞,攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。 网站图片: 网络测绘: fofa语法: FOF
F6-3泛微-E-Cology-SQL 漏洞描述: 由于泛微e-cology未对用户的输入进行有效的过滤,直接将其拼接进了SQL查询语句中,导致系统出现SQL注入漏洞。远程未授权攻击者可利用此漏洞获取敏感信息,进一步利用可能获取目标系统权限等。 网站图片: 网络测绘: fofa语法: FOFA:ap
F6-2泛微-E-Cology-任意文件读取 漏洞描述: 泛微E-Cology getE9DevelopAllNameValue2接口处任意文件读取漏洞,未经身份验证的攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。 网站图片:
F6-1泛微-E-Cology-SQL 漏洞描述: 泛微e-cology是一款由泛微网络科技开发的协同管理平台,支持人力资源、财务、行政等多功能管理和移动办公。泛微e-cology存在SQL注入漏洞,攻击者利用Web应用程序对用户输入验证上的疏忽,在输入的数据中包含对某些数据库系统有特殊意义的符号或
F5-6泛微-E-Mobile 移动管理平台-SSRF 漏洞复现: payload: http://ip/install/installOperate.do?svrurl=http://dnslog.cn
F5-5泛微-E-Mobile 移动管理平台-PermissionAC 漏洞描述: 泛微E-Mobile installOperate.do 接口处存在服务器请求伪造漏洞,未经身份验证的远程攻击者利用此漏洞扫描服务器所在的内网或本地端口,获取服务的banner信息,窥探网络结构,甚至对内网或本地运行
