泛微Ecology 漏洞列表
共找到 18 个与 泛微Ecology 相关的漏洞
📅 加载漏洞趋势中...
-
ecology-mobile-plugin-checkserver-sqli: 泛微 Ecology OA SQL 注入漏洞 POC
泛微 Ecology OA 系统由于对用户传入的数据过滤处理不当,导致存在 SQL 注入漏洞,远程且未经过身份认证的攻击者可利用此漏洞进行 SQL 注入攻击,从而可窃取数据库敏感信息。长亭科技安全研究员经过分析后确认此漏洞同时影响 Ecology 9 和 8 两个版本系列,使用泛微 Ecology 的用户需尽快进行补丁更新升级。 泛微 ecology 9.x 补丁版本号 <= v10.56 泛微 ecology 8.x 补丁版本号 <= v10.56 app="泛微-协同商务系统" app="泛微-协同办公OA" -
ecology-oa-database-info-leak: 泛微ecology OA 数据库配置信息泄露 POC
泛微ecology OA系统接口存在数据库配置信息泄露漏洞 -
泛微E-Cology ReceiveCCRequestByXml 存在XXE漏洞 无POC
泛微e-cology某处功能点最初针对用户输入的过滤不太完善,导致在处理用户输入时可触发XXE。后续修复规则依旧可被绕过,本次漏洞即为之前修复规则的绕过。攻击者可利用该漏洞列目录、读取文件,甚至可能获取应用系统的管理员权限。 -
泛微e-cology 9 /weaver/weaver.email.FileDownloadLocation/login/LoginSSOxjsp/x.FileDownloadLocation SQL 注入漏洞 无POC
泛微协同管理应用平台e-cology是一款企业级协同管理平台,涵盖企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理及数据中心功能。泛微协同管理应用平台e-cology的x.FileDownloadLocation接口存在SQL注入漏洞,未经身份验证的远程攻击者可以通过该漏洞获取数据库中的敏感信息(如管理员后台密码、用户个人信息),甚至在高权限情况下向服务器写入恶意代码,进一步获取系统权限。 -
泛微ecology ImportValidationFieldServlet 前台SQL注入漏洞 无POC
该漏洞存在于泛微e-cology的ImportValidationFieldServlet接口,该接口用于处理导入操作时字段的验证。其处理函数selectfieldData接收用户输入的modeid参数,直接拼接进行SQL语句执行,从而导致SQL注入漏洞。攻击者可利用该漏洞获取数据库敏感信息以及服务器控制权限。 -
泛微 ecology getFileViewUrl 服务端请求伪造漏洞 无POC
泛微ecology存在服务端请求伪造漏洞,该漏洞是由于getFileViewUrl接口对用户发送的请求验证不当导致的。 -
泛微ecology 9 /ecology_dev.zip 信息泄露漏洞 无POC
泛微协同管理应用平台(e-cology)是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台,并可形成一系列的通用解决方案和行业解决方案。 泛微ecology 9系统存在信息泄露漏洞,攻击者通过构造特殊URL地址,可以读取ecology_dev.zip文件。 -
泛微e-cology ProcessOverRequestByJson 存在 SQL 注入漏洞 无POC
泛微e-cology是一款由泛微网络科技开发的协同管理平台,支持人力资源、财务、行政等多功能管理和移动办公。泛微e-cology 9.0QRcodeBuildAction 存在认证绕过导致 SQL 注入漏洞,攻击者可利用此漏洞获取数据库中敏感数据。 -
泛微e-cology FileDownloadForOutDoc SQL注入漏洞 无POC
-
泛微 Ecology LoginSSO.jsp SQL注入漏洞 无POC
-
泛微ecology 9.0 LoginSSO.%2520jsp SQL注入漏洞 无POC
泛微ecology9.0 存在SQL注入漏洞,可通过SQL注入可获取敏感信息甚至获取到服务器权限。 -
泛微 e-cology XmlRpcServlet 接口文件读取漏洞 无POC
泛微e-cology是专为大中型企业制作的OA办公系统,支持PC端、移动端和微信端同时办公等。攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。 -
泛微E-COLOGY CheckServer.jsp SQL注入 无POC
泛微 E-cology /mobile/plugin/CheckServer.jsp 存在SQL注入漏洞,未经身份认证的远程攻击者利用此漏洞可以获取数据库敏感信息。 -
泛微OA Ecology9 uploaderOperate.jsp 前台任意文件上传漏洞 无POC
泛微OA9通过 /page/exportImport/uploadOperation.jsp 进行前台任意文件上传。 -
泛微ecology_weaver.file.SignatureDownLoad markId注入 无POC
泛微产品技术研发专注于协同管理软件领域,拥有自主知识产权的协同管理软件系列产品,并致力于以协同 OA为核心帮助企业构建全员统一的移动办公平台。其中泛微ecology存在注入,由于SignatureDownLoad类中未过滤markId,导致可以进行sql注入攻击,并且可通过union进行文件读取。目前,官方已经发布安全补丁修复漏洞,请前往https://www.weaver.com.cn/获取最新信息。 -
泛微Ecology OA SyncUserInfo.jsp SQL注入漏洞 无POC
泛微协同管理应用平台(e-cology)是一套兼具企业信息门户、知识管理、数据中心、工作流管理、人力资源管理、客户与合作伙伴管理、项目管理、财务管理、资产管理功能的协同商务平台。泛微e-cologySyncUserInfo.jsp 存在SQL注入漏洞,攻击者可利用该漏洞获取敏感信息。 -
泛微Ecology OA org.springframework.web.servlet.ResourceServlet目录穿越漏洞 无POC
泛微协同管理应用平台(e-cology)是一套兼具企业信息门户、知识管理、数据中心、工作流管理、人力资源管理、客户与合作伙伴管理、项目管理、财务管理、资产管理功能的协同商务平台。泛微e-cologyorg.springframework.web.servlet.ResourceServlet存在目录穿越漏洞,攻击者可利用该漏洞获取敏感信息。 -
泛微e-cology OA 远程代码执行漏洞 无POC
泛微协同管理应用平台(e-cology)是一套兼具企业信息门户、知识管理、数据中心、工作流管理、人力资源管理、客户与合作伙伴管理、项目管理、财务管理、资产管理功能的协同商务平台。</br>泛微e-cologyOA系统存在远程代码执行漏洞。该漏洞存在于泛微协同管理应用平台OA系统的BeanShell组件中,该组件为系统自带且允许未授权访问。攻击者通过调用BeanShell组件的问题接口可直接在目标服务器上执行任意命令。