泛微e-cology OA 远程代码执行漏洞预警

阅读量    87183 |

分享到: QQ空间 新浪微博 微信 QQ facebook twitter

 

0x00 漏洞背景

2019年9月20日,360CERT监测到2019年9月17日泛微OA官方更新了一个远程代码执行漏洞补丁,漏洞等级严重。

泛微e-cology OA系统的JAVA Beanshell接口可被未授权访问,攻击者调用该Beanshell接口,可构造特定的HTTP请求绕过泛微本身一些安全限制从而达成远程命令执行。

360CERT判断漏洞等级为高危,危害面较广。建议使用泛微e-cology OA用户及时安装最新补丁,以免遭受黑客攻击。

 

0x01 影响版本

包括不限于7.0,8.0,8.1

 

0x02 修复建议

升级e-cology OA最新版本或安装官方BSH安全补丁包

 

0x03 时间线

2019-09-17 泛微OA官方更新补丁

2019-09-20 90sec发布漏洞分析

2019-09-20 360CERT发布预警

 

0x04 参考链接

  1. https://www.weaver.com.cn/cs/securityDownload.asp
  2. https://mp.weixin.qq.com/s/SKtiPmTF8uAjq9QynY3YKw
分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读
|发表评论
|评论列表
加载更多