漏洞通告:泛微 E-Office 命令注入漏洞CVE-2023-2647
日期:2023-05-15 10:04:31 发布人:信息化建设中心 浏览量:569
漏洞概要
|
漏洞名称 |
泛微 E-Office 命令注入漏洞(CVE-2023-2647) |
|
发布时间 |
2023年5月13日 |
|
组件名称 |
泛微 E-Office |
|
影响范围 |
泛微 E-Office 9.5 |
|
漏洞类型 |
命令注入 |
|
利用条件 |
1、用户认证:未知 2、前置条件:未知 3、触发方式:远程 |
|
综合评价 |
<综合评定利用难度>:未知 <综合评定威胁等级>:高危,能造成远程代码执行。 |
|
官方解决方案 |
已发布 |
漏洞分析
组件介绍
泛微 E-Office软件拥有行政审批,人事管理,信息沟通,业务管控,工作执行等等功能服务,可以助力更高效移动协同工作。
漏洞描述
2023年5月12日,深信服安全团队监测到一则泛微 E-Office组件存在命令注入漏洞的信息,漏洞编号:CVE-2023-2647,漏洞威胁等级:高危。
该漏洞是由于/webroot/inc/utility_all.php 的一些未知功能存在命令注入,攻击者可利用该漏洞,构造恶意数据执行命令注入攻击,最终获取服务器最高权限。
与泛微官方确定,该漏洞在2020年已被厂商获知并修复。
影响范围
目前受影响的泛微 E-Office版本:
泛微 E-Office 9.5
解决方案
修复建议
官方修复建议
目前厂商已发布安全补丁解决此安全问题,建议受影响的用户及时联系官方获取解决方案。