泛微 e-office v9.0任意文件上传漏洞(CNVD-2021-49104)

最新推荐文章于 2025-07-05 00:45:04 发布
原创 最新推荐文章于 2025-07-05 00:45:04 发布 · 6.2k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #java #信息安全 #xss #apache

本文详细介绍了泛微e-office v9.0的任意文件上传漏洞,包括漏洞概述、影响范围、复现过程及修复方案。攻击者通过构造恶意数据包可执行任意代码,获取服务器控制权。提供安装包下载链接和POC验证,同时建议用户关注修复方案以确保系统安全。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章来源|MS08067 Web安全知识星球

本文作者:Taoing(Web漏洞挖掘班讲师)

参考:

https://cnvd.org.cn/flaw/show/CNVD-2021-49104
https://mp.weixin.qq.com/s/P75K_0869h-nWHRMu06zgQ
https://mp.weixin.qq.com/s/J4R-PRJq_oi58iWKh_1Oiw

泛微oa跟eoffice区别:

常见oa是ecology,eoffice是轻量版

9d8f05b20699247789b313fd974c5ac7.png

一、漏洞概述

泛微e-office是泛微旗下的一款标准协同移动办公平台。

泛微e-office 未能正确处理上传模块中用户输入导致的,攻击者可以构造恶意的上传数据包,实现任意代码执行,攻击者可利用该漏洞获取服务器控制权。

二、影响范围

泛微e-office V9.0

三、漏洞复现

安装包:

链接: https://pan.baidu.com/s/1i4DQ4YD 密码: fegm

最低0.47元/天 解锁文章

200万优质内容无限畅学
漏洞复现】CERIO DT系列路由器 远程代码执行漏洞
qq_67810151的博客
03-13 641
CERIO DT系列路由器在特定版本中存在操作命令注入漏洞。未授权的攻击者可利用该漏洞进行远程代码执行,从而控制服务器。
漏洞复现】 e-office v9.0任意文件上传漏洞(CNVD-2021-49104)
李火火的安全圈
11-29 5533
0x01 漏洞概述 e-office旗下的一款标准的协同移动办公平台。 e-office 未能正确处理上传模块中用户输入导致的,攻击者可以构造恶意的上传数据包,实现任意代码执行,攻击者可利用该漏洞获取服务器控制权。 0x02 影响范围 e-office V9.0 0x03 漏洞复现 访问界面如下 ...
e-office系统敏感信息泄露漏洞
故事讲予风听
02-24 1131
e-office系统是标准、易用、快速部署上线的专业协同OA软件,国内协同OA办公领域领导品牌,致力于为企业用户提供专业OA办公系统、移动OA应用等协同OA整体解决方案。
e-cology remarkOperate远程命令执行漏洞
最新发布
murphysec的博客
07-05 649
e-cology协同管理平台存在高危远程命令执行漏洞,因/api/workflow/reqform/remarkOperate接口的multipart类型requestid参数未校验,直接拼接进SQL语句导致SQL注入。攻击者可执行任意SQL,甚至通过写文件实现远程命令执行。所有版本均受影响,建议通过官方安全补丁修复,或临时用WAF拦截特殊字符、限制接口访问来源等应急措施。
E-Office敏感信息泄露和未授权访问漏洞
08-03 2305
E-Office是一款标准化的协同 OA 办公软件,协同办公产品系列成员之一,实行通用化产品设计,充分贴合企业管理需求,本着简洁易用、高效智能的原则,为企业快速打造移动化、无纸化、数字化的办公平台。
漏洞通报:V9任意文件上传
热门推荐
土豆的博客
12-06 7万+
——D&X安全实验室 目录 Part1 漏洞描述 Part2 危害等级 Part3 漏洞影响 Part4 漏洞分析及验证 (1)环境搭建 (2)构造POC (3)漏洞验证 Part5 修复建议 Part1 漏洞描述 e-office系统是标准、易用、快速部署上线的专业协同OA软件,国内协同OA办公领域领导品牌,致力于为企业用户提供专业OA办公系统、移动OA应用等协同OA整体解决方案。 该漏洞是由于后端源码中uploadType 参数设为 ...
e-office v9.0任意文件上传漏洞{CNVD-2021-49104}
千寻的博客
12-07 5856
目录 漏洞介绍 影响版本 漏洞环境 漏洞复现一 漏洞复现二 修复方法 参考连接 免责声明 漏洞介绍 e-office旗下的一款标准协同移动办公平台。 e-office 未能正确处理上传模块中用户输入导致的,攻击者可以构造恶意的上传数据包,实现任意代码执行,攻击者可利用该漏洞获取服务器控制权。 影响版本 e-office V9.0 关键字 app="e-office V9.0" 漏洞环境 漏洞复现一 P
CNVD-2021-49104漏洞复现(E-Office文件上传漏洞
dreamthe的博客
12-05 3226
1.靶场搭建 自己下载的e-office软件运行就行了
【1day】e-office OA SQL注入漏洞学习
记录并分享学习安全的知识点..
10-17 643
e-office OA是一种企业级办公自动化(Office Automation)解决方案,由中国的软件(FANWEI)开发和提供。它是一套集成办公、流程管理、协同办公、知识管理等功能于一体的全面办公平台。e-office OA存在SQL注入漏洞,攻击者通过在Web应用程序的输入字段中注入恶意的SQL代码,从而在后台数据库中执行未经授权的操作。
CNVD-2021-49104——E-Office文件上传漏洞
LiBai'S BLOG
11-28 9333
CNVD-2021-49104漏洞描述危害等级FOFA 语法影响版本漏洞复现修复建议 漏洞描述 e-office旗下的一款标准协同移动办公平台。由于 e-office 未能正确处理上传模块中的用户输入,攻击者可以通过该漏洞构造恶意的上传数据包,最终实现任意代码执行。 危害等级 高危 文件上传可直接get webshell FOFA 语法 app="-EOffice" 影响版本 e-office V9.0 漏洞复现 构造请求上传文件即可 POST /general/index/U
云桥前台文件上传漏洞-202408
网络安全。
08-18 1904
静态分析代码流程:先看方法有没有声明,没有声明使用 jd-gui 反编译工具 search 搜索要跳转的类方法,定位到后再去 idea 里查看有无声明,再无声明可结合 jd-gui、jar-analyzer工具搜索查找。动态分析:每一步都可以打断点动态分析一下,可以随时在每一步骤中用到的方法进行断点分析。
E-Cology getFileViewUrl SSRF漏洞复现
0xSec
07-09 2667
E-Cology getFileViewUrl 接口处存在服务器请求伪造漏洞,未经身份验证的远程攻击者利用此漏洞扫描服务器所在的内网或本地端口,获取服务的banner信息,窥探网络结构,甚至对内网或本地运行的应用程序发起攻击,获取服务器内部敏感配置,造成信息泄露。
最新漏洞汇总----实时更新!!!_漏洞,2024年最新网络安全程序员必会
erthre的博客
04-16 2850
知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。(img-tih2xQ74-1713254808442)]app.name=“ e-cology 9.0 OA”
最新漏洞汇总----实时更新!!(1),阿里内部网络安全笔记火爆IT圈
m0_60666452的博客
04-07 1570
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
漏洞汇总
qq_39541626的博客
05-09 7828
SQL注入 前台SQL注入 用户名:admin’ or password like ‘c4ca4238a0b923820dcc509a6f75849b’ and ‘a’='a 密码: 1 验证页面参数 - loginid (1)/login/VerifyLogin.jsp?loginfile=%2Fwui%2Ftheme%2Fecology7%2Fpage%2Flogin.jsp%3FtemplateId%3D41%26logintype%3D1%26gopage%3D&logintype=1&am
2021-OA V8 SQL注入漏洞
weixin_43227251的博客
04-13 1万+
OA V8 SQL注入漏洞 漏洞描述 OA V8 存在SQL注入漏洞,攻击者可以通过漏洞获取管理员权限和服务器权限 漏洞影响 OA V8 FOFA app=“-协同办公OA” 漏洞复现 在getdata.jsp中,直接将request对象交给 weaver.hrm.common.AjaxManager.getData(HttpServletRequest, ServletContext) : 方法处理 在getData方法中,判断请求里cmd参数是否为空,如果不为空,调用proc方法 P
E-cology OA /weaver/ 代码执行漏洞
2401_88326655的博客
12-30 556
E-cology OA /weaver/代码执行漏洞
漏洞复现】OA E-Cology V9 browser.jsp SQL注入漏洞复现及利用(CNVD-2023-12632)
李火火的安全圈
05-10 3397
协同管理应用平台e-cology是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。新一代移动办公平台E-Cology不仅组织提供了一体化的协同工作平台,将组织事务逐渐实现全程电子化,改变传统纸质文件,实体签章的方式,OA E-Cology平台browser.jsp处存在SQL注入漏洞,攻击者通过漏洞可以获取服务器数据库权限。
E-Mobile 6.0命令执行漏洞
故事讲予风听
11-10 2019
E-Mobile 6.0存在命令执行漏洞的问题,在某些情况下,用户的输入可能被直接传递给底层操作系统的命令执行函数,攻击者可以通过在输入中插入特殊字符或命令序列来欺骗应用程序将其作为有效命令来执行,从而获得服务器的命令执行权限。
9.0 文件上传
09-22
e-office V9.0 存在一个文件上传漏洞,攻击者可以通过构造恶意的上传数据包,在上传模块中实现任意代码执行,并获取服务器控制权。该漏洞可能导致严重的安全风险,因此建议及时升级到最新版本或应用补丁来修复漏洞。 您可以参考以下链接获取更多关于该漏洞的详细信息: - https://cnvd.org.cn/flaw/show/CNVD-2021-49104 - https://mp.weixin.qq.com/s/P75K_0869h-nWHRMu06zgQ - https://mp.weixin.qq.com/s/J4R-PRJq_oi58iWKh_1Oiw
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值