漏洞描述

泛微協(xié)同管理應(yīng)用平臺(tái)(e-cology)是一套企業(yè)大型協(xié)同管理平臺(tái)。

泛微e-cology9部分版本中存在前臺(tái)任意用戶登錄漏洞，由于系統(tǒng)默認(rèn)配置固定密鑰進(jìn)行用戶身份驗(yàn)證。

當(dāng)存在/mobile/plugin/1/ofsLogin.jsp文件時(shí)（可能通過插件方式安裝），攻擊者可通過構(gòu)造惡意的HTTP請(qǐng)求訪問/mobile/plugin/1/ofsLogin.jsp繞過用戶驗(yàn)證進(jìn)而實(shí)現(xiàn)任意用戶登錄，造成敏感數(shù)據(jù)泄漏。

影響范圍

e-cology9@(-∞, 10.57.2)

修復(fù)方案

將組件 e-cology9 升級(jí)至 10.57.2 及以上版本

參考鏈接

https://www.oscs1024.com/hd/MPS-qj5s-7z0o

https://www.weaver.com.cn/cs/securityDownload.asp

關(guān)于墨菲安全

墨菲安全是一家為您提供專業(yè)的軟件供應(yīng)鏈安全管理的科技公司，核心團(tuán)隊(duì)來自百度、華為、烏云等企業(yè)，公司為客戶提供完整的軟件供應(yīng)鏈安全管理平臺(tái)，圍繞SBOM提供軟件全生命周期的安全管理，平臺(tái)能力包括軟件成分分析、源安全管理、容器鏡像檢測、漏洞情報(bào)預(yù)警及商業(yè)軟件供應(yīng)鏈準(zhǔn)入評(píng)估等多個(gè)產(chǎn)品。為客戶提供從供應(yīng)鏈資產(chǎn)識(shí)別管理、風(fēng)險(xiǎn)檢測、安全控制、一鍵修復(fù)的完整控制能力。
開源項(xiàng)目：https://github.com/murphysecurity/murphysec/?sf=qbyj

產(chǎn)品可以極低成本的和現(xiàn)有開發(fā)流程中的各種工具一鍵打通，包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等數(shù)十種工具無縫集成。
免費(fèi)代碼安全檢測工具： https://www.murphysec.com/?sf=qbyj
免費(fèi)情報(bào)訂閱： https://www.oscs1024.com/cm/?sf=qbyj