泛微ecology OA系统某接口存在数据库配置信息泄露漏洞

技术 作者:HackerEye 2019-10-25 04:45:34 阅读:1946
漏洞描述 泛微e-cology OA系统某接口存在数据库配置信息泄露漏洞.攻击者可通过存在漏洞的页面并解密以后可获取到数据库配置信息.如果攻击者可直接访问数据库,则可直接获取用户数据,由于泛微e-cology默认数据库大多为MSSQL数据库,结合XPCMDSHELL将可直接控制数据库服务器. 漏洞威胁等级 中危 利用难度影响范围 目前已知为8.100.0531,不排除其他版本 漏洞复现 使用payload进行验证 直接访问该页面将为DES加密以后的乱码 需要使用DES算法结合硬编码的key进行解密 修复建议 等待泛微官方进行修复 https://www.weaver.com.cn/

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:http://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接