漏洞预警|泛微协同OA管理平台(e-cology)多个版本存在命令执行漏洞

时间:2019-10-17 13:15:16来源:信息安全服务部作者:梦之想科技

近日,泛微协同办公平台(e-cology)被披露在系统自带的BeanShell组件中存在未授权访问并执行系统命令的漏洞,攻击者通过相关组件接口可直接在目标服务器上执行任意命令。


漏洞简介


严重程度:高危

CVE编号:暂无

影响版本:泛微e-cology<=9.0


漏洞成因


问题出现在resin下lib中的bsh.jar文件里,问题类bsh.servlet.BshServlet,可doGet方法从getParameter中接收参数,Request请求会交给evalScript方法来进行处理。


漏洞危害


攻击者可以通过精心构造的请求包在受影响版本的泛微OA上进行远程代码执行。




处置建议


1.对/weaver/路径进行访问控制;

2.补丁包:ttps://www.weaver.com.cn/cs/securityDownload.asp。