泛微E-Office 漏洞列表

泛微 E-Office /E-mobile/create/ajax_do.php 存在SQL注入漏洞，攻击者可以利用该漏洞获取数据库敏感信息，进而控制整个系统。

泛微 E-Office /E-mobile/diarydo.php 存在SQL注入漏洞，攻击者可以利用该漏洞获取数据库敏感信息，进而控制整个系统。

泛微e-office系统是标准、易用、快速部署上线的专业协同OA软件,该系统存在敏感信息泄露漏洞

SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码，从而绕过应用程序的安全措施，直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下，使得攻击者能够获取、修改或删除数据库中的数据，甚至可能执行服务器上的任意代码。

泛微E-Office是一款标准化的协同 OA 办公软件，泛微协同办公产品系列成员之一，旨在为企业提供移动化、无纸化、数字化的办公平台。该漏洞存在于泛微E-Office的 /general/new_mytable/content_list/content_-4.php 接口，攻击者可以通过SQL注入获取数据库中的敏感信息（如管理员后台密码、用户个人信息），甚至在高权限下执行命令，进一步获取服务器系统权限。

泛微E-Office是一款标准化的协同OA办公软件，旨在为企业提供移动化、无纸化、数字化的办公平台。该漏洞存在于泛微E-Office的 /webservice-json/online_person/online_person.wsdl.php 接口中，攻击者可以通过SQL注入获取数据库中的敏感信息（如管理员后台密码、用户个人信息），甚至在高权限下向服务器写入命令，进一步获取服务器系统权限。

泛微E-Office是一款标准化的协同OA办公软件，旨在为企业提供移动化、无纸化、数字化的办公平台。该漏洞存在于泛微E-Office的 /webservice-json/online_person/online_person.wsdl.php 接口中，攻击者可以通过SQL注入获取数据库中的敏感信息（如管理员后台密码、用户个人信息），甚至在高权限下向服务器写入命令，进一步获取服务器系统权限。

泛微E-Office是一款标准化的协同OA办公软件，旨在为企业提供移动化、无纸化、数字化的办公平台。该漏洞存在于泛微E-Office的 /webservice-json/notify/notify.wsdl.php 接口中，攻击者可以通过SQL注入获取数据库中的敏感信息（如管理员后台密码、用户个人信息），甚至在高权限下向服务器写入命令，进一步获取服务器系统权限。

泛微E-Office是一款标准化的协同 OA 办公软件，泛微协同办公产品系列成员之一，旨在为企业提供移动化、无纸化、数字化的办公平台。该漏洞存在于泛微E-Office的 /general/new_mytable/block_content.php 接口，攻击者可以通过SQL注入获取数据库中的敏感信息（如管理员后台密码、用户个人信息），甚至在高权限下执行命令，进一步获取服务器系统权限。

泛微e-office attendance.wsdl.php 接口处存在SQL注入漏洞，未经身份验证的恶意攻击者利用 SQL注入漏洞获取数据库中的信息（例如管理员后台密码、站点用户个人信息）之外，攻击者甚至可以在高权限下向服务器写入命令，进一步获取服务器系统权限。

鉴权绕过漏洞是指攻击者通过某些手段绕过系统的正常权限验证机制，获取未授权的访问或执行权限。这种漏洞通常存在于身份验证、授权检查、权限控制等环节的不足或缺陷中，使得未经授权的用户能够访问或操作敏感数据、执行关键操作，甚至获取系统控制权。

SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码，从而绕过应用程序的安全措施，直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下，使得攻击者能够获取、修改或删除数据库中的数据，甚至可能执行服务器上的任意代码。

泛微E-Office是一款企业级的全流程办公自动化软件，它包括协同办公、文档管理、知识管理、工作流管理等多个模块，涵盖了企业日常工作中的各个环节。泛微E-Office能够帮助企业实现全流程数字化、自动化，提高工作效率和管理质量，降低管理成本，为企业提供全面、高效、便捷的办公服务。该系统/E-mobile/App/System/File/downfile.php存在任意文件下载漏洞，通过该漏洞攻击者可以下载服务上任意文件。

E-Office是一款标准化的协同 OA 办公软件，泛微协同办公产品系列成员之一,实行通用化产品设计，充分贴合企业管理需求，本着简洁易用、高效智能的原则，为企业快速打造移动化、无纸化、数字化的办公平台。泛微e-office 存在权限绕过漏洞（测试页面sample.php），攻击者可以通过此页面获取有效cookie绕过权限校验，访问后台。

泛微E-office 10存在sql注入漏洞，该漏洞是由于leave_record.php接口对用户发送的请求验证不当导致的。

泛微E-Office 10存在远程代码执行漏洞，此漏洞是程序对用户上传到atuh-file接口的文件数据缺乏校验导致的。

泛微 E-Office 是一款标准化的协同 OA 办公软件，实行通用化产品设计，充分贴合企业管理需求，本着简洁易用、高效智能的原则，为企业快速打造移动化、无纸化、数字化的办公平台。泛微E-OFFICEV10通过向attachment/atuh-file接口上传恶意序列化数据.inc文件，之后在找到dingtalk/dingtalk-move反序列化触发点触发 phar 反序列化达到RCE操作。泛微E-OFFICEV10全版本RCE可直接获取OA系统服务器管理员权限，攻击者可利用该漏洞执行任意系统命令、获取系统数据库配置账号密码，并通过连接数据库获取OA管理员及所有用户账号密码、员工基本信息、公司组织架构，进入OA后台可自由添加删除人员账户、查看企业内部敏感文档，利用这些信息和账户身份进行鱼叉攻击、窃取企业机邮件和文档；还可以获取OA配置的邮件配置信息或VPN配置信息，攻击者可进行二次利用，会对企业内部安全造成重大安全隐患。

泛微 E-Office10是一款企业级办公自动化系统，主要用于优化和管理企业的文档、信息流转、协作与沟通工作流程，泛微 E-Office 10 在10.0_20230821 版本之前存在远程代码执行漏洞，该漏洞是通过文件上传配合文件包含实现远程代码执行，攻击者可利用此漏洞上传恶意文件并控制服务器。

泛微 E-office submit.php 文件上传漏洞

泛微 E-office /general/new_mytable/block_content.php 存在SQL注入漏洞

泛微E-Office user_page.php信息泄露漏洞

泛微E-Office UserSelect 信息泄露漏洞

泛微 E-Office9 forwardsucess.php runid参数 存在SQL注入漏洞。

泛微E-Office 10存在远程代码执行漏洞，此漏洞是程序对用户上传到atuh-file接口的文件数据缺乏校验导致的。

泛微E-Office 10存在远程代码执行漏洞，此漏洞是程序对用户上传到atuh-file接口的文件数据缺乏校验导致的。

漏洞的关键在于系统处理上传的PHAR文件时存在缺陷。攻击者能够上传伪装的PHAR文件到服务器，利用PHP处理PHAR文件时自动进行的反序列化机制来触发远程代码执行。

泛微E-Office 是一款企业办公软件，该漏洞可能允许攻击者通过发送特制的请求来执行任意代码，从而控制受影响的系统。

泛微 E-Office sample 权限绕过 save image 文件上传漏洞

泛微 E-Office sample 权限绕过 file-upload 后台文件上传漏洞

泛微 E-Office sample 权限绕过 submit 文件覆盖漏洞

泛微 E-Office sample 权限绕过 new_edit_do 文件覆盖漏洞

泛微 E-Office sample 权限绕过 picture 文件覆盖漏洞

泛微e-office是泛微公司面向中小型组织推出的OA产品,简单易用高效,部署快、投资少。提供免费试用体验。泛微e-office存在sql注入漏洞，攻击者可以构造恶意sql语句获取数据库权限。

泛微e-officeOA系统是面向中小型组织的专业协同OA软件,国内协同OA办公领域领导品牌,致力于为企业用户提供专业OA办公系统、移动OA应用等协同OA整体解决方案。泛微E-Office前台文件读取漏洞，攻击者可以获取敏感信息。

泛微 e-office 是泛微公司面向中小型组织推出的 OA 产品。泛微 e-office 在向 /building/json_common.php POST 发送 tfs 参数时存在 SQL 注入漏洞。

泛微 E-Office 是面向中小型组织推出的 OA 产品，由泛微网络科技股份有限公司开发。泛微 E-office 在 flow_xml.php 存在SQL注入漏洞，攻击者可以利用 SQL 注入漏洞获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息）。

泛微e-officeOA系统是面向中小型组织的专业协同OA软件,国内协同OA办公领域领导品牌,致力于为企业用户提供专业OA办公系统、移动OA应用等协同OA整体解决方案。泛微e-office存在目录遍历漏洞

泛微e-office是泛微旗下的一款标准协同移动办公平台。泛微e-office存在文件上传漏洞，攻击者可利用该漏洞获取服务器控制权。

泛微E-Office的init.php存在文件包含漏洞

泛微e-officeOA系统是面向中小型组织的专业协同OA软件。泛微e-office的mobile_upload_save模块由于参数处理不当，导致存在文件上传漏洞，攻击者可以通过该漏洞直接获取网站权限。

泛微E-Office Init.php 任意文件上传漏洞

泛微e-officeOA系统是面向中小型组织的专业协同OA软件,国内协同OA办公领域领导品牌,致力于为企业用户提供专业OA办公系统、移动OA应用等协同OA整体解决方案。泛微e-office存在敏感信息泄露漏洞，攻击者可以获得数据库的信息。

泛微E-office协同办公系统是一款专业的办公软件，是面向小型企业或团队的工作平台。泛微E-office协同办公系统存在文件读取漏洞，攻击者可通过该漏洞读取系统重要文件（如数据库配置文件、系统配置文件）、数据库配置文件等等，导致网站处于极度不安全状态。

Weaver E-Office是中国泛微科技（Weaver）公司的一个协同办公系统。 Weaver E-Office 9.5版本存在代码问题漏洞，该漏洞源于文件/inc/jquery/uploadify/uploadify.php存在问题，对参数Filedata的操作会导致不受限制的上传。

泛微E-Office /group_xml.php 路径存在远程命令执行

泛微协同办公系统 /iweboffice/officeserver.php 文件TEMPLATE参数任意文件上传漏洞，可以上传恶意文件到服务器，获取服务器权限。

泛微-EOffice是一款移动化、智能化、电子化的协同办公平台。 泛微-EOffice 因为使用了金格组件导致officeserver2.php文件存在任意文件上传漏洞，攻击者可上传恶意木马获取服务器权限。

泛微E-office是专为大中型企业制作的OA办公系统,支持PC端、移动端和微信端同时办公等。泛微E-office存在文件上传漏洞。攻击者可利用该漏洞获取服务器权限。

泛微e-office在/general/weibo/javascript/LazyUploadify/uploadify.php处存在任意文件上传漏洞

泛微e-office系统是标准、易用、快速部署上线的专业协同OA软件,国内协同OA办公领域领导品牌,致力于为企业用户提供专业OA办公系统、移动OA应用等协同OA整体解决方案。泛微content_3.php存在SQL注入漏洞，黑客可以直接执行SQL语句，从而控制整个服务器：获取数据、修改数据、删除数据等

泛微e-office系统是标准、易用、快速部署上线的专业协同OA软件,国内协同OA办公领域领导品牌,致力于为企业用户提供专业OA办公系统、移动OA应用等协同OA整体解决方案。泛微content_-4.php存在SQL注入漏洞，黑客可以直接执行SQL语句，从而控制整个服务器：获取数据、修改数据、删除数据等