漏洞介紹 (poc下載地址見最後)
泛微披露了e-cology遠端程式碼執行漏洞。該漏洞允許攻擊者透過e-cology-10.0前臺獲取管理員訪問令牌,然後利用JDBC反序列化,實現遠端程式碼執行。
漏洞描述
透過/papi/passport/rest/appThirdLogin介面獲取管理員賬號票據,根據該票據獲取訪問令牌,系統依賴 H2 資料庫且有 JDBC 反序列化漏洞。該漏洞PoC已公開。建議受影響使用者儘快修復。
受影響版本
e-cology-10.0
解決方案
目前廠商官方已釋出修復版本。建議客戶升級安全補丁包至10.69及以上版本。
poc地址:點選關注本公眾號魔都安全札記,回覆【240822】獲取poc連結。
