FE业务协作平台存在文件上传漏洞 (MPS-plcb-5td0)

漏洞类型 任意文件上传 发现时间 2024-05-17 漏洞等级 严重
MPS编号 MPS-plcb-5td0 CVE编号 漏洞影响广度

漏洞危害

OSCS 描述
FE业务协同平台是飞启软件自2004年以来在行业内不断创新和突破的一款基于平台的协同办公软件。
/common/uploadFile.jsp接口存在文件上传漏洞,该系统接口存在任意文件上传,攻击者通过上传恶意jsp脚本文件,可以执行服务器上的任意代码,从而获得服务器的进一步控制权。
参考链接:https://www.oscs1024.com/hd/MPS-plcb-5td0

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
FE业务协作平台 (-∞, 7.0) 升级 将组件 FE业务协作平台 升级至 7.0 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-plcb-5td0

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-plcb-5td0

(0)
上一篇 2024年5月16日
下一篇 2024年5月18日

相关推荐

  • Dataease jdbc 反序列化漏洞 (CVE-2024-23328)

    漏洞类型 反序列化 发现时间 2024-02-29 漏洞等级 严重 MPS编号 MPS-j54s-zgbo CVE编号 CVE-2024-23328 漏洞影响广度 一般 漏洞危害 OSCS 描述 Dataease是一款开源的数据可视化分析工具。 受影响版本中,由于未对用户输入的数据库连接参数做有效过滤,具有 Dataease 登陆权限的攻击者可通过使用URL…

    2024年3月1日
    0
  • Sudo <1.9.15 故障注入导致权限提升漏洞 (CVE-2023-42465)

    漏洞类型 非预期数据类型处理不恰当 发现时间 2023-12-23 漏洞等级 中危 MPS编号 MPS-03xh-sirc CVE编号 CVE-2023-42465 漏洞影响广度 广 漏洞危害 OSCS 描述 Sudo 是一款使用于类Unix系统的,允许用户通过安全的方式使用特殊的权限执行命令的程序。 Sudo 1.9.15 之前的版本存在绕过认证或特权升级…

    2023年12月26日
    0
  • Deno socket 会话数据污染漏洞 (CVE-2024-27935)

    漏洞类型 对错误会话暴露数据元素 发现时间 2024-03-21 漏洞等级 高危 MPS编号 MPS-4dbm-51vn CVE编号 CVE-2024-27935 漏洞影响广度 一般 漏洞危害 OSCS 描述 Deno 是开源的一个简单、现代且安全的 JavaScript 和 TypeScript 运行环境。 在 Deno 的 Node.js 兼容运行环境中…

    2024年3月25日
    0
  • Mlflow Jinja2 模版注入漏洞 (CVE-2023-6940)

    漏洞类型 命令注入 发现时间 2023-12-20 漏洞等级 严重 MPS编号 MPS-qdjk-tr3g CVE编号 CVE-2023-6940 漏洞影响广度 漏洞危害 OSCS 描述 MLflow 是用于机器学习全生命周期管理的开源工具。 MLflow受影响版本中存在模版注入漏洞。在render_and_merge_yaml方法中,该函数用于渲染和合并基…

    2023年12月21日
    0
  • 致远A8前台上传解压漏洞 (MPS-6tdh-8qpu)

    漏洞类型 路径遍历 发现时间 2023-08-22 漏洞等级 高危 MPS编号 MPS-6tdh-8qpu CVE编号 – 漏洞影响广度 广 漏洞危害 OSCS 描述 致远A8是一款企业级的办公自动化软件,提供全方位的企业管理解决方案。致远A8协同管理系统在前台上传解压时存在漏洞,攻击者可利用此漏洞直接写入任意文件,进而获取目标系统的控制权限。上…

    2023年8月23日
    0