漏洞名称:泛微 e-cology v10 appThirdLogin 权限绕过漏洞
English Name:Weaver e-cology v10 appThirdLogin Permission Bypass Vulnerability
CVSS core: 7.5
漏洞描述:
泛微新一代数字化运营构建平台E10,是基于原eteams平台之上全新研发,同时融合了原E9产品的所有功能,最终研发出全新平台。
其appThirdLogin接口及后续接口,存在Cookie伪造漏洞,未经授权的攻击者可以伪造Cookie,进行Cookie的相关利用,获取账户密码,登录后台,从而造成危害。
FOFA查询语句:
body=“/build/passport/static/js/lib.js” && body=“/build/ecodesdk/static/js/lib.js”
受影响资产数量: 534
受影响产品:
影响产品:E8和E9 (所有版本都需要升级此补丁包)
解决方案:
1、关注官方补丁发布信息,打上补丁:https://www.weaver.com.cn/cs/security/edm20240814_kdielfrovkewpiiuyrtewtw.html
2、升级到最新版本:
(1)手动升级
(2)用sysadmin登录oa系统,访问/security/monitor/Monitor.jsp,点击【环境信息】点击【下载并应用更新】,建议业务低峰期升级
漏洞检测工具:
【Goby】-资产绘测及实战化漏洞扫描工具,实战漏洞利用效果如图所示:
下载Goby:Goby下载
查看Goby更多漏洞:Goby历史漏洞合集
关注Goby公众号获取最新动态:Gobysec
标签:appThirdLogin,v10,js,漏洞,Goby,泛微 From: https://www.cnblogs.com/gobybot/p/18373169