时间:2021-11-27 作者:奇安信CERT
奇安信CERT
致力于第一时间为企业级用户提供安全风险通告和有效解决方案。
近日,奇安信CERT监测到泛微E-Office文件上传漏洞(CNVD-2021-49104)存在在野利用。由于泛微E-Office未能正确处理上传模块中输入的数据,攻击者可以构造恶意数据包,实现任意代码执行,成功利用该漏洞可以获取服务器控制权。鉴于漏洞危害较大,建议用户及时升级补丁。
当前漏洞状态
漏洞描述
泛微e-office是一款标准化的协同OA办公软件,实行通用化产品设计,充分贴合企业管理需求,本着简洁易用、高效智能的原则,为企业快速打造移动化、无纸化、数字化的办公平台。由于泛微E-Office未能正确处理上传模块中输入的数据,攻击者可以构造恶意数据包,实现任意代码执行,成功利用该漏洞可以获取服务器控制权。鉴于漏洞危害较大,建议用户及时升级补丁。
CNVD-2021-49104泛微E-Office文件上传漏洞
奇安信CERT风险评级为:高危
风险等级:蓝色(一般事件)
影响范围
泛微E-Office9
处置建议
厂商已提供漏洞修补方案,建议用户下载使用:
http://v10.e-office.cn/eoffice9update/safepack.zip
参考资料
[1]http://v10.e-office.cn/eoffice9update/safepack.zip
时间线
2021年11月17日,奇安信CERT发布安全风险通告
到奇安信NOX-安全监测平台查询更多漏洞详情
奇安信CERT长期招募安全研究员
95015服务热线
微信公众号