Hvv 日记 威胁情报 8.20 （0day预警 - 泛微 e-cology 远程代码执行漏洞）

文章预览

零day预警 【漏洞预警】泛微 e-cology 远程代码执行漏洞 一、漏洞概述 泛微 e-cology-10.0 存在远程代码执行漏洞，攻击者可利用其前台获取管理员令牌，借助 JDBC 反序列化漏洞实现远程代码执行。 二、漏洞详解 获取管理员身份：通过 e-cology-10.0 的 /papi/passport/rest/appThirdLogin 接口传入管理员账号信息获取票据，进而获取 ETEAMSID，获得 sysadmin 管理员身份。 远程代码执行：系统依赖 H2 数据库且有 JDBC 反序列化漏洞，触发接口为 /api/dw/connSetting/testConnByBasePassword。需先通过 /api/bs/iaauthclient/base/save 接口加载 org.h2.Driver 数据库驱动类，利用管理员身份可执行任意 Java 代码实现远程代码执行。 三、影响范围 泛微 e-cology 10.0 版本。 四、临时措施 因 exp 已公开，若有互联网资产需进行失陷排查。可对 /papi/passport/rest/appThirdLogin?username=sysadmin 配置访问白名单并限制 sysad ………………………………