产品描述(必填) |
泛微协同管理应用平台 (e-cology)是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台,并可形成一系列的通用解决方案和行业解决方案。 |
影响产品或组件及版本(必填) |
泛微E-COLOGY9.0版本均受该漏洞影响 |
受影响资产情况(必填) |
示例:通过资产测绘系统hunter(说明:不限制用哪个搜索引擎)发现,全球工68528个使用记录,其中第一名中国68446个,第二名美国16个、第三名新加坡12个(说明:取前三)。 |
受影响资产列表 |
http://1.116.105.168:8080/common/checkurl.jsp?url=https://www.baidu.com http://1.116.68.59/common/checkurl.jsp?url=https://www.baidu.com http://1.117.178.18/common/checkurl.jsp?url=https://www.baidu.com |
利用过程及结果 |
1.访问url:http://1.116.105.168:8080/common/checkurl.jsp?url=https://www.baidu.com
访问跳转百度
|
技术细节表述(必填) |
该漏洞源于过滤不严格导致,服务端未对传入的跳转url变量进行检查和控制,可导致恶意用户构造一个恶意地址,诱导用户跳转到恶意网站。 |
修补措施(必填) |
限制传入参数
|
检验规则 |
|
漏洞来源(必填) |
CNNVD-2022-98057844 |
关于泛微E-COLOGY安全漏洞的通报
特别声明
本站(ZONE.CI)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
评论