泛微 e-cology前台 文件上传漏洞
日期:2023-07-26 10:34:32 发布人:信息化建设中心 浏览量:369
漏洞概要
|
漏洞名称 |
|
|
发布时间 |
2023年07月27日 |
|
组件名称 |
泛微 e-cology |
|
影响范围 |
e-cology9 并且补丁版本 < 10.58.3 e-cology8 并且补丁版本 < 10.58.3 |
|
漏洞类型 |
任意文件上传 |
|
利用条件 |
1、用户认证:不需要用户认证 2、前置条件:要求泛微 e-cology部署在集群环境 3、触发方式:远程 |
|
综合评价 |
<综合评定利用难度>:困难,要求泛微 e-cology部署在集群环境下。 <综合评定威胁等级>:高危,能任意文件上传。 |
|
官方解决方案 |
已发布 |
漏洞分析
组件介绍
泛微 e-cology是由中国泛微软件集团开发的一款企业级协同办公平台。该平台主要用于帮助企业实现协同办公、流程管理、文档管理、知识管理、项目管理等多项业务。
漏洞描述
2023年7月27日,深信服安全团队监测到一则泛微 e-cology组件存在文件上传漏洞的信息,漏洞威胁等级:高危。
当泛微 e-cology 部署在集群环境下,未经授权的远程攻击者可通过发送特殊的HTTP请求来触发文件上传,最终可导致攻击者获取远程服务器权限。
影响范围
e-cology9并且补丁版本 < 10.58.3
e-cology8并且补丁版本 < 10.58.3
解决方案
官方修复建议
官方已发布修复补丁,建议受影响的用户尽快升级至最新版本的补丁 v10.58.3。