泛微E-Office10存在phar反序列化漏洞
泛微E-Office10存在phar反序列化漏洞
安恒研究院 安恒信息CERT 2024-03-28 20:39
|
漏洞概述 |
|||
|
漏洞名称 |
泛微E-Office10存在phar反序列化漏洞 |
||
|
安恒CERT评级 |
1级 |
CVSS3.1评分 |
10.0(安恒自评) |
|
CVE编号 |
未分配 |
CNVD编号 |
未分配 |
|
CNNVD编号 |
未分配 |
安恒CERT编号 |
WM-202403-000001 |
|
POC情况 |
已发现 |
EXP情况 |
未发现 |
|
在野利用 |
未发现 |
研究情况 |
已复现 |
|
危害描述 |
存在未授权反序列化命令执行漏洞,攻击者可以利用该漏洞获取服务器权限。 |
||
安恒研究院卫兵实验室已复现此漏洞。
该产品主要使用客户行业分布广泛,漏洞危害性高,建议客户尽快做好自查及防护。
泛微E-Office10存在phar反序列化漏洞复现截图
漏洞信息
漏洞描述
泛微e-office10是一款功能强大的企业办公自动化软件,旨在提升企业的办公效率和管理水平。e-office10提供了一系列全面的办公功能,包括电子公文管理、工作流程设计、协同办公、日程管理、文档管理、会议管理等,满足企业日常办公的各种需求。
应急响应等级:
1级
漏洞类型:
****远程代码执行
漏洞标签:
Web应用
影响范围
影响版本:
v10.0_20180516 < E-Office < v10.0_20240222
安全版本:
E-Office >= v10.0_20240222
E-Office <= v10.0_20180516
CVSS向量
访问途径(AV):网络
攻击复杂度(AC):低
所需权限(PR):无需任何权限
用户交互(UI):不需要用户交互
影响范围 (S):改变
机密性影响 (C):高
完整性影响 (l):高
可用性影响 (A):高
网空资产测绘
根据安恒Sumap全球网络空间资产测绘数据显示,受影响资产主要分布在中国、新加坡等国家。其中国内资产为1528。建议客户尽快做好资产排查。
修复方案
官方修复方案:
官方已发布修复方案,受影响的用户建议及时下载补丁包进行漏洞修复。
https://service.e-office.cn/knowledge/detail/5
产品能力覆盖
|
产品名称 |
覆盖补丁包 |
|
AiLPHA大数据平台 |
AiNTA-v1.2.5_release_ruletag_1.1.1377 |
|
APT攻击预警平台 |
GoldenEyeIPv6_XXXXX_strategy2.0.XXXXX.240328.1 |
|
明鉴远程安全评估系统 |
V1.3.1516.1526 |
|
WebScan7 |
V1.0.1.146 |
|
WAF |
已支持 |
|
玄武盾 |
已支持 |
参考资料
https://service.e-office.cn/knowledge/detail/5
https://www.e-office.cn/
技术支持
如有漏洞相关需求支持请联系400-6777-677获取相关能力支撑。