漏洞描述
泛微e-cology某处功能点最初针对用户输入的过滤不太完善,导致在处理用户输入时可触发XXE。后续修复规则依旧可被绕过,本次漏洞即为之前修复规则的绕过。攻击者可利用该漏洞列目录、读取文件,甚至可能获取应用系统的管理员权限。
泛微E-Cology ReceiveCCRequestByXml 存在XXE漏洞
PoC代码
暂无相关漏洞推荐
- POC ecology-ofslogin-aul: 泛微 e-cology 任意用户登录漏洞
- 泛微e-cology 9 /weaver/weaver.email.FileDownloadLocation/login/LoginSSOxjsp/x.FileDownloadLocation SQL 注入漏洞
- POC 泛微ecology ImportValidationFieldServlet 前台SQL注入漏洞
- 泛微 ecology getFileViewUrl 服务端请求伪造漏洞
- 泛微ecology 9 /ecology_dev.zip 信息泄露漏洞
- 泛微e-cology ProcessOverRequestByJson 存在 SQL 注入漏洞
- 泛微e-cology FileDownloadForOutDoc SQL注入漏洞
- 泛微 Ecology LoginSSO.jsp SQL注入漏洞
- 泛微ecology 9.0 LoginSSO.%2520jsp SQL注入漏洞
- 泛微 e-cology XmlRpcServlet 接口文件读取漏洞
- 泛微E-COLOGY CheckServer.jsp SQL注入
- 泛微OA Ecology9 uploaderOperate.jsp 前台任意文件上传漏洞
- 泛微ecology_weaver.file.SignatureDownLoad markId注入