泛微e-cology OA远程代码执行 漏洞高危漏洞预警

释放双眼,带上耳机,听听看~!

1.安全公告

2019年9月17日,泛微OA发布了安全更新补丁,修复了一个远程代码执行漏洞,参考链接:

https://www.weaver.com.cn/cs/securityDownload.asp


2.漏洞详情

通过分析,泛微e-cology OA系统存在java Beanshell接口,且可被未授权访问,攻击者调用该Beanshell接口,可构造特定的HTTP请求绕过泛微本身一些安全限制进行命令执行。

目前该漏洞poc已经在野流传,存在较大风险,建议及时修复!


3. 影响版本

Ecology 8.0、9.0、10.0等版本。


4.缓解措施

目前官方网站已经更新补丁,补丁地址:

https://www.weaver.com.cn/cs/securityDownload.asp

若业务在线期间,可临时删除resin文件夹下bsh-2.0b6.jar文件中的servlet接口。

本文源自微信公众号:雷神众测

人已赞赏
安全工具

从挖矿木马看后渗透维权

2019-10-14 14:31:15

安全工具

Nitol.C僵尸网络爆发预警

2019-10-14 14:31:29

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索