【漏洞通告】泛微 E-Office 命令注入和任意文件上传漏洞安全风险通告
2023-5-13 10:1:59 Author: 嘉诚安全(查看原文) 阅读量:47 收藏

点击上方蓝字关注我们!

漏洞背景

近日,嘉诚安全监测到泛微 E-Office 多个安全漏洞风险通告,漏洞编号:CNNVD-202305-1015(CVE-2023-2647)、CNNVD-202305-1013(CVE-2023-2648)。

泛微E-Office是一款标准化的协同 OA 办公软件,泛微协同办公产品系列成员之一,实行通用化产品设计,充分贴合企业管理需求,本着简洁易用、高效智能的原则,为企业快速打造移动化、无纸化、数字化的办公平台。

鉴于漏洞危害较大,嘉诚安全提醒相关用户尽快下载相关补丁,避免引发漏洞相关的网络安全事件。

漏洞详情

1.CNNVD-202305-1015(CVE-2023-2647)

泛微 E-Office 命令注入漏洞,经研判,该漏洞为中危漏洞,源于文件/webroot/inc/utility_all.php存在问题,会导致命令注入。

2.CNNVD-202305-1013(CVE-2023-2648)

泛微 E-Office 任意文件上传漏洞,经研判,该漏洞为中危漏洞,源于文件/inc/jquery/uploadify/uploadify.php存在问题,对参数Filedata的操作会导致不受限制的上传。

危害影响

受影响版本:

泛微 E-Office 9.5

修复建议

根据影响版本中的信息,建议相关用户尽快下载相关补丁,官方补丁下载地址:

https://service.e-office.cn/download


文章来源: http://mp.weixin.qq.com/s?__biz=MzU4NjY4MDAyNQ==&mid=2247491432&idx=1&sn=686eda4de587cc5ac9b74a7ee7d78175&chksm=fdf6ccdeca8145c8c9df6de76581cf892b8acbbd2b62e74221d106b656062a160890eec569d8#rd
如有侵权请联系:admin#unsafe.sh