• 2024-08-29泛微ecology9 ModeDateService 存在SQL注入漏洞
    一、漏洞介绍泛微e-cology是⼀款由泛微网络科技开发的协同管理平台,支持人力资源、财务、行政等多功能管理和移动办公。泛微e-cology9ModeDateService接口存在SQL注入漏洞。二、影响版本泛微ecology9三、网络测绘fofa:app="泛微-协同商务系统"hunter:app.name=="
  • 2024-08-23[poc] hw情报-泛微 e-cology v10 远程代码执行漏洞
    漏洞介绍 (poc下载地址见最后)  泛微披露了e-cology远程代码执行漏洞。该漏洞允许攻击者通过e-cology-10.0前台获取管理员访问令牌,然后利用JDBC反序列化,实现远程代码执行。漏洞描述  通过/papi/passport/rest/appThirdLogin接口获取管理员账号票据,根据该票据获取访问令牌
  • 2024-07-17未公开 泛微OA E-Cology 某接口SQL注入漏洞
    0x01阅读须知        技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者
  • 2024-07-170day 新接口泛微e-cology getHendledWorkflowRequestList SQL注入漏洞
    0x01阅读须知        技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者
  • 2024-07-09泛微E-Cology getFileViewUrl SSRF漏洞复现
    0x01产品简介泛微协同管理应用平台e-cology是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。0x02漏洞概述泛微E-CologygetFileViewUrl接口处存在服
  • 2024-07-09【漏洞复现】泛微e-cology——resourceservlet——任意文件读取
    声明:本文档或演示材料仅供教育和教学目的使用,任何个人或组织使用本文档中的信息进行非法活动,均与本文档的作者或发布者无关。文章目录漏洞描述漏洞复现测试工具漏洞描述泛微e-cology是一款由泛微网络科技开发的协同管理平台,支持人力资源、财务、行政等多功能管理
  • 2024-06-20全网最强泛微漏洞综合利用工具
    请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。如有侵权烦请告知,我们会立即删除并致歉。谢谢!01前言在攻防演练中,泛微一直是红队攻击的重点目标之一,红队通常需要快速
  • 2024-06-17【漏洞情报】泛微 E-Cology KtreeUploadAction 文件上传漏洞
    声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。如有侵权烦请告知,我们会立即删除并致歉。谢谢!01漏洞描述泛微OAE-CologyKtreeUploadAction存在文件上传漏洞
  • 2024-03-28泛微e-cology_getE9DevelopAllNameValue2任意文件读取漏洞
    漏洞描述泛微e-cology依托全新的设计理念,全新的管理思想。为中大型组织创建全新的高效协同办公环境。智能语音办公,简化软件操作界面。身份认证、电子签名、电子签章、数据存证让合同全程数字化。泛微e-cologygetE9DevelopAllNameValue2接口存在任意文件读取漏洞,通过该漏洞
  • 2023-09-04泛微E-cology XXE漏洞复现(QVD-2023-16177)
    漏洞概述泛微e-cology某处功能点最初针对用户输入的过滤不太完善,导致在处理用户输入时可触发XXE。后续修复规则依旧可被绕过,本次漏洞即为之前修复规则的绕过。攻击者可利用该漏洞列目录、读取文件,甚至可能获取应用系统的管理员权限。影响版本泛微EC9.x且补丁版本<10.58.2
  • 2023-09-04泛微E-cology HrmCareerApplyPerView.jspSQL注入漏洞
    漏洞简介泛微OAE-CologyHrmCareerApplyPerView.jsp文件存在SQL注入漏洞,攻击者通过漏洞可以获取服务器数据库敏感文件影响版本泛微OAE-Cologyv8.0漏洞复现fofa语法:app="泛微-协同办公OA"登录页面如下:POC/pweb/careerapply/HrmCareerApplyPerView.jsp?id=1%20union%20
  • 2023-09-04泛微E-cology LoginSSO.jsp SQL注入漏洞 CNVD-2021-33202
    漏洞简介泛微e-cology是专为大中型企业制作的OA办公系统,支持PC端、移动端和微信端同时办公等。泛微e-cology存在SQL注入漏洞。攻击者可利用该漏洞获取敏感信息。漏洞影响泛微e-cology8.0漏洞复现fofa语法:app="泛微-协同办公OA"登录页面如下:POC:/upgrade/detail.jsp/log
  • 2023-09-04泛微E-cology filedownload目录遍历漏洞
    漏洞描述泛微E-cologyfiledownload文件存在目录遍历漏洞漏洞复现fofa查询语法:app="泛微-协同办公OA"鹰图查询语法:app.name="泛微e-cology9.0OA"登录页面如下:POC:/weaver/ln.FileDownload?fpath=../ecology/WEB-INF/web.xmlnuclei批量yaml文件id:ecology-filedownloa
  • 2023-09-04泛微E-cology FileDownloadForOutDoc SQL注入漏洞(CVE-2023-15672)
    漏洞简介泛微e-cology未对用户的输入进行有效的过滤,直接将其拼接进了SQL查询语句中,导致系统出现SQL注入漏洞。远程未授权攻击者可利用此漏洞获取敏感信息,进一步利用可能获取目标系统权限等。影响版本Ecology9.x补丁版本<10.58.0;Ecology8.x补丁版本<10.58.0漏洞复现fo
  • 2023-09-02泛微E-cology ifNewsCheckOutByCurrentUser.dwr SQL注入漏洞
    漏洞描述泛微E-cology的ifNewsCheckOutByCurrentUser.dwr文件存在SQL注入漏洞。漏洞复现fofa语法:app="泛微-协同办公OA"登录页面如下:POC:POST/dwr/call/plaincall/CptDwrUtil.ifNewsCheckOutByCurrentUser.dwrHTTP/1.1Host:User-Agent:Mozilla/5.0(WindowsNT5.1)A