泛微E-Office10 < 10.0_20240222 远程代码执行漏洞 (MPS-4tme-or5n)

漏洞类型 反序列化 发现时间 2024-03-27 漏洞等级 严重
MPS编号 MPS-4tme-or5n CVE编号 漏洞影响广度

漏洞危害

OSCS 描述
泛微e-office OA系统是通过php开发面向中小型组织的专业协同OA软件。
在受影响版本中,由于处理上传的phar文件时存在缺陷,攻击者可通过向/eoffice10/server/public/api/attachment/atuh-file等地址上传恶意phar文件,利用针对phar的反序列化触发远程代码执行。
参考链接:https://www.oscs1024.com/hd/MPS-4tme-or5n

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
e-office10 [10.0_20180516, 10.0_20240222) 升级 将组件 e-office10 升级至 10.0_20240222 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-4tme-or5n

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-4tme-or5n

https://service.e-office.cn/knowledge/detail/5

(0)
上一篇 2024年3月25日 下午12:00
下一篇 2024年3月30日 下午12:00

相关推荐

  • Redis SORT_RO命令可绕过 ACL 配置 (CVE-2023-41053)

    漏洞类型 权限管理不当 发现时间 2023-09-07 漏洞等级 中危 MPS编号 MPS-2pvi-xqr4 CVE编号 CVE-2023-41053 漏洞影响广度 广 漏洞危害 OSCS 描述 Redis 是一个开源的键值型非关系数据库,SORT_RO命令用于对存储在 Redis 中的数据进行排序,ACL 配置指 Redis 的访问控制列表。 受影响版本…

    2023年9月11日
    0
  • Apache Kafka ACL配置错误漏洞 (CVE-2024-27309)

    漏洞类型 权限管理不当 发现时间 2024-04-12 漏洞等级 高危 MPS编号 MPS-pyb8-l75n CVE编号 CVE-2024-27309 漏洞影响广度 广 漏洞危害 OSCS 描述 Kafka 是 Apache 软件基金会的一种分布式的、基于发布/订阅的消息系统。 Apache Kafka在从ZooKeeper模式迁移到KRaft模式时存在A…

    漏洞 2024年4月15日
    0
  • MLflow <2.12.1 存在路径遍历漏洞 (CVE-2024-3848)

    漏洞类型 路径遍历 发现时间 2024-05-17 漏洞等级 严重 MPS编号 MPS-ghw4-em9v CVE编号 CVE-2024-3848 漏洞影响广度 漏洞危害 OSCS 描述 MLflow是一个简化机器学习开发的平台,包括跟踪实验、将代码打包为可重复运行以及共享和部署模型。 受影响版本[2.9.2,2.12.1)容易受到路径遍历的攻击,该漏洞是针…

    漏洞 2024年5月18日
    0
  • Apache Superset 授权检查错误漏洞 (CVE-2023-49734)

    漏洞类型 授权检查错误 发现时间 2023-12-19 漏洞等级 高危 MPS编号 MPS-i3j1-274p CVE编号 CVE-2023-49734 漏洞影响广度 广 漏洞危害 OSCS 描述 Apache Superset 是一个数据可视化和数据探索平台。 由于update_charts_owners方法的逻辑错误,拥有 Gamma 权限的用户可以创建…

    2023年12月21日
    0
  • Atlassian Confluence Data Center/Server 模板注入漏洞 (CVE-2023-22522)

    漏洞类型 代码注入 发现时间 2023-12-06 漏洞等级 严重 MPS编号 MPS-2023-0023 CVE编号 CVE-2023-22522 漏洞影响广度 一般 漏洞危害 OSCS 描述 Confluence 是由Atlassian公司开发的企业协作和文档管理工具。 Atlassian Confluence Data Center/Server 受影…

    2023年12月8日
    0