漏洞描述
ioffice.net是广州红帆电脑科技有限公司基于微软.net技术在国内首家研发的信息管理平台,实现以知识管理为核心的办公自动化功能,主要为企业和政府机构提供服务。该ioffice由于没有阻止对组件'xp_cmdshell' 的 过程 'sys.xp_cmdshell' 的访问,导致远程攻击者可以直接调用xp_cmdshell进行远程命令执行
红帆-ioffice 远程命令执行
PoC代码
暂无相关漏洞推荐
- 红帆OA /ioffice/prg/Mobile/Base/MobileBind.aspx SQL 注入漏洞
- 红帆ioffice HbcaUserLogin.aspx SQL注入漏洞
- 红帆ioffice mrClearPwd.aspx SQL注入漏洞
- 红帆ioffice PgcaUserLogin.aspx SQL注入漏洞
- POC hongfan-iodesktopdata-sqli: 红帆iOffice ioDesktopData.asmx接口SQL注入
- POC hongfan-ioffice-iofiledown-fileread: 红帆 iOffice ioFileDown 任意文件读取漏洞
- POC ioffice-oa-iofileexport-read-file: 红帆OA ioFileExport.aspx 任意文件读取漏洞
- POC ioffice-oa-udfmr-asmx-sql-inject: 红帆OA udfmr.asmx SQL注入漏洞
- POC hongfan-ioffice-lfi: Hongfan OA ioFileExport.aspx - Arbitrary File Read
- POC hongfan-ioffice-rce: Hongfan OA ioAssistance.asmx - Remote Code Execution
- POC hongfan-ioffice-sqli: Hongfan OA udfmr.asmx - SQL injection
- POC 红帆 ioffice /iOffice/Identity/NetCAUserLogin.aspx SQL 注入漏洞
- POC 红帆 IOffice /iOffice/prg/set/wss/MobileOA.asmx SQL 注入漏洞