漏洞情报 | 泛微e-cology9 任意用户登录漏洞风险通告
2023-5-17 18:26:0 Author: mp.weixin.qq.com(查看原文) 阅读量:6 收藏

1.1  漏洞概述

近日,斗象科技漏洞情报中心监控到公网公开披露了泛微存在任意用户登录漏洞,攻击者可以利用信息泄露获取敏感信息,从而进行任意用户登录。
泛微协同管理应用平台(e-cology)是一套兼具企业信息门户、知识管理、数据中心、工作流管理、人力资源管理、客户与合作伙伴管理、项目管理、财务管理、资产管理功能的协同商务平台。

1.2  影响范围

泛微e-cology9 补丁版本 < 10.57.2

1.3  复现环境

Windows: 10

泛微e-cology9 10.57

1.4  漏洞复现

通过精心构造的特定请求,可以获取用户loginid。

然后通过 loginid 以及系统默认的AES密钥,可以进行用户登录。

1.5  修复建议

>> 1.5.1  版本升级

厂商已发布了漏洞修复程序,请使用此产品的用户尽快更新至安全版本:

泛微e-cology9 补丁版本 >= 10.57.2

官方下载链接:

https://www.weaver.com.cn/cs/securityDownload.html?src=cn


文章来源: https://mp.weixin.qq.com/s?__biz=MzIwMjcyNzA5Mw==&mid=2247490829&idx=1&sn=033de9cd524edf003a53b59811306eb0&chksm=96db16d7a1ac9fc1a438e8567ae793c3d4e66af17ef15170aac88e5f73f70946ff1e2de5cc4b&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh