【漏洞复现】泛微OA E-Cology users.data信息泄露漏洞

晚风不及你ღ

已于 2024-05-14 08:45:28 修改

阅读量1.1k

点赞数 3

文章标签： web安全

于 2024-05-14 08:45:08 首次发布

本文链接：https://blog.youkuaiyun.com/qq_37113223/article/details/138836127

版权

【漏洞复现】专栏收录该内容

150 篇文章

已下架不支持订阅

漏洞描述：

泛微OA E-Cology是一款面向中大型组织的数字化办公产品，它基于全新的设计理念和管理思想，旨在为中大型组织创建一个全新的高效协同办公环境。泛微OA E-Cology users.data存在敏感信息泄露漏洞，攻击者利用此漏洞可以获取系统敏感信息。

搜索语法:

Fofa-Query: app="泛微-OA（e-cology）"

漏洞详情：

1.泛微OA E-Cology。

2.漏洞POC详情见公众号文章。

【漏洞复现】泛微OA E-Cology users.data信息泄露漏洞

3.漏洞复现结果。

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

晚风不及你ღ

关注关注

3
点赞
踩
5

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

已下架不支持订阅

泛微OA E-Cology /messager/users.data 信息泄漏漏洞

shelter1234567的博客

02-08

534

泛微OA E-Cology /messager/users.data 信息泄漏漏洞。泛微OA E-Cology users.data 允许任意用户下载，获取OA中的敏感信息如账号密码。

泛微e-office系统存在敏感信息泄露附POC软件

nnn2188185的博客

02-21

403

泛微e-office系统存在敏感信息泄露

参与评论您还未登录，请先登录后发表或查看评论

泛微 E-cology V9 信息泄露漏洞

孤桜懶契

06-18

5521

泛微OA E-Cology信息泄露 API接口漏洞只针对e-cology v9.0版本才有用,JS文件中有一个API接口

【漏洞复现】泛微ecology OA系统某接口存在数据库配置信息泄露漏洞

Summer's blog

05-13

1万+

泛微ecology OA系统某接口存在数据库配置信息泄露漏洞,复现的时候踩到的那些坑！经验分享与总结。

泛微e-office系统敏感信息泄露漏洞

故事讲予风听

02-24

1077

泛微e-office系统是标准、易用、快速部署上线的专业协同OA软件,国内协同OA办公领域领导品牌,致力于为企业用户提供专业OA办公系统、移动OA应用等协同OA整体解决方案。

SRC挖掘日常3

jennycisp的博客

05-06

939

在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。如果你把每周要学的内容精细化到这种程度，你还会担心学不会，入不了门吗，其实说到底就是学了两个月，但都是东学一下，西学一下，什么内容都是浅尝辄止，没有深入进去，所以才会有学了2个月，入不了门这种感受。聊完宏观的，我们再落到具体的技术点上来，给你看看我给团队小伙伴制定的网络安全学习路线，整体大概半年左右，具体视每个人的情况而定。

大数据环境下的应用：泛微OA e-cology 8 WebService接口高效数据处理

![大数据环境下的应用：泛微OA e-cology 8 WebService接口高效数据处理]... 泛微OA e-cology 8 WebService接口概述 ## 1.1 WebService接口简介泛微OA e-colog

接口开发最佳实践：泛微OA e-cology 8 WebService接口效率优化秘诀

[接口开发最佳实践：泛微OA e-cology 8 WebService接口效率优化秘诀](https://img-blog.csdnimg.cn/38a040c5ea50467b88bf89dde0d09ec7.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,...

2021-泛微OA V8 SQL注入漏洞

热门推荐

weixin_43227251的博客

04-13

1万+

泛微OA V8 SQL注入漏洞漏洞描述泛微OA V8 存在SQL注入漏洞，攻击者可以通过漏洞获取管理员权限和服务器权限漏洞影响泛微OA V8 FOFA app=“泛微-协同办公OA” 漏洞复现在getdata.jsp中，直接将request对象交给 weaver.hrm.common.AjaxManager.getData(HttpServletRequest, ServletContext) : 方法处理在getData方法中，判断请求里cmd参数是否为空，如果不为空，调用proc方法 P

泛微E-Office敏感信息泄露和未授权访问漏洞

08-03

2249

泛微E-Office是一款标准化的协同 OA 办公软件，泛微协同办公产品系列成员之一,实行通用化产品设计，充分贴合企业管理需求，本着简洁易用、高效智能的原则，为企业快速打造移动化、无纸化、数字化的办公平台。

【复现】泛微-EOfficeOA信息泄露漏洞_41

fushuang333的博客

02-06

1304

【复现】泛微-EOfficeOA信息泄露漏洞，未授权导致一些敏感配置信息泄露，可能造成系统危害以及重要信息泄露。

erthre的博客

04-16

2777

知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。(img-tih2xQ74-1713254808442)]app.name=“泛微 e-cology 9.0 OA”

泛微e-cology WorkflowServiceXml SQL注入漏洞(POC)

m0_62584974的博客

07-16

1600

泛微 e-cology v10.64.1的/services/接口默认对内网暴露，用于服务调用，未经身份认证的攻击者可向 /services/WorkflowServiceXml 接口发送恶意的SOAP请求进行SQL注入，攻击者通过漏洞可以获取服务器数据库敏感信息。分析：基于当前情报，漏洞可能被用于攻击e-Cology WorkflowServiceXml系统，建议更新系统补丁、加强输入验证和限制访问权限。更新e-Cology WorkflowServiceXml系统到最新版本。

敏感信息泄露漏洞

夜行者的博客

02-21

7334

系统暴露系统内部信息，如网站绝对路径、网页源代码、SQL语句、中间件版本和程序异常等信息。数据库的敏感信息泄露（数据库表段等信息泄露），攻击者可能利用此缺陷对客户端或服务器发送特殊构造的数据，发出攻击，从而了解后台数据库表等信息，对系统安全构成威胁。通过系统暴露出的异常信息，便于入侵者了解系统框架及代码等，从而加大系统被侵入的风险解决方案： 1.对用户输入的异常字符做过滤，防止网站绝对路径、网页源代码和SQL语句等信息输出。 2.屏蔽应用程序报错回显，防止恶意用户获得服务器的敏感信息，或对出错信息进

漏洞复现-泛微WeaverOA系列

aming小老弟

10-03

2083

泛微OA

泛微最新漏洞汇总----实时更新！！！_泛微漏洞(2)，系统学网络安全从零开始

erthre的博客

04-16

1085

app.name=“泛微 e-cology 9.0 OA”

泛微e-cology BlogService SQL注入

iSee857的博客

08-23

478

由于泛微e-cology未对用户的输入进行有效的过滤，BlogService中直接将其拼接进了SQL查询语句中，导致系统出现SQL注入漏洞。远程未授权攻击者可利用此漏洞获取敏感信息，进一步利用可能获取目标系统权限等。Fofa：app="泛微-OA（e-cology）"泛微e-cology 9 >= 10.64.1。

【漏洞复现】泛微OA E-Cology portalTsLogin文件读取漏洞

晚风不及你

05-12

662

泛微OA E-Cology portalTsLogin存在任意文件读取漏洞，允许未经授权的用户读取服务器上的敏感配置文件。

泛微OA漏洞学习——E-Cology BshServlet 远程代码执行漏洞 CNVD-2019-32204

记录并分享学习安全的知识点..

07-10

1871

2019年9月17日泛微OA官方更新了一个远程代码执行漏洞补丁，泛微e-cology OA系统的J**A Beanshell接口可被未授权访问，攻击者调用该Beanshell接口，可构造特定的HTTP请求绕过泛微本身一些安全限制从而达成远程命令执行，漏洞等级严重。......

java 依赖下载地址