风险通告
近日,奇安信 CERT 监测到泛微E-Office文件上传漏洞(CNVD-2021-49104)存在在野利用。由于泛微 E-Office 未能正确处理上传模块中输入的数据,攻击者可以构造恶意数据包,实现任意代码执行,成功利用该漏洞可以获取服务器控制权。鉴于漏洞危害较大,建议用户及时升级补丁。
当前漏洞状态
细节是否公开 | PoC状态 | EXP状态 | 在野利用 |
否 | 未知 | 未知 | 已发现 |
泛微e-office是一款标准化的协同OA办公软件,实行通用化产品设计,充分贴合企业管理需求,本着简洁易用、高效智能的原则,为企业快速打造移动化、无纸化、数字化的办公平台。由于泛微 E-Office 未能正确处理上传模块中输入的数据,攻击者可以构造恶意数据包,实现任意代码执行,成功利用该漏洞可以获取服务器控制权。鉴于漏洞危害较大,建议用户及时升级补丁。
CNVD-2021-49104 泛微E-Office文件上传漏洞
漏洞名称 | 泛微E-Office文件上传漏洞 | ||||
漏洞类型 | 文件上传 | 风险等级 | 紧急 | 漏洞ID | CNVD-2021-49104 |
公开状态 | 未发现 | 在野利用 | 已发现 | ||
漏洞描述 | 泛微e-office是一款标准化的协同OA办公软件,由于泛微 E-Office 未能正确处理上传模块中输入的数据,攻击者可以构造恶意数据包,实现任意代码执行,成功利用该漏洞可以获取服务器控制权。鉴于漏洞危害较大,建议用户及时升级补丁 | ||||
参考链接 | |||||
https://vul.wangan.com/a/CNVD-2021-49104 |
泛微E-Office 9
厂商已提供漏洞修补方案,建议用户下载使用:
http://v10.e-office.cn/eoffice9update/safepack.zip
2021年11月17日,奇安信 CERT发布安全风险通告