泛微e-cology OA系统远程代码执行误差清静通告

宣布时间 2019-09-20

误差编号和级别


CVE编号:暂无,危险级别:高危,CVSS分值:官方未评定


影响版本


受影响的版本


泛微e-cology<=9.0


误差概述


泛微e-cology OA是海内应用普遍的OA解决计划。


克日,泛微e-cology OA系统被爆出保存远程代码执行误差。该误差保存于泛微协同管理应用平台OA系统的BeanShell组件中,该组件为系统自带且允许未授权会见。攻击者通过挪用BeanShell组件的问题接口可直接在目的服务器上执行恣意下令。


问题泛起在resin下lib中的bsh.jar文件里,问题类bsh.servlet.BshServlet,可以看到doGet要领从getParameter中吸收到一些参数,然后整个Request请求会交给evalScript要领来举行处置惩罚。我们可以看到这个接口没有举行任何权限校验,凭证上述剖析的路由,这个地方可以被未授权触发。


尊龙凯时 - 人生就是搏!


跟进evalScript要领,挪用localInterpreter.eval(paramString);,而 localInterpreter 是 interpreter 实例化工具。


尊龙凯时 - 人生就是搏!


这里看个bsh用法的例子,下面这个例子执行效果是输出hello:


尊龙凯时 - 人生就是搏!


以是我们可以知道bsh中的eval要领可以执行一些java代码。


尊龙凯时 - 人生就是搏!


误差验证


误差路径:/weaver/bsh.servlet.BshServlet

exec("whoami")

curl http://xx.xx.xx.xx.xx/weaver/bsh.servlet.BshServlet/ -d 'bsh.script=eval%00("ex"%2b"ec(\"whoami\")");&bsh.servlet.captureOutErr=true&bsh.servlet.output=raw'

会见http://url/weaver/bsh.servlet.BshServleth输入payload如下:


尊龙凯时 - 人生就是搏!


修复建议


现在泛微官网宣布了补丁,下载地址:https://www.weaver.com.cn/cs/securityDownload.asp。


暂时缓解步伐:

1、榨取该系统在公网开放。

2、设置 URL 会见控制战略:

安排于公网的泛微OA系统,可通过 ACL 榨取外网对*/*BshServlet/路径的会见。


参考链接

https://www.weaver.com.cn/cs/securityDownload.asp