事件背景
2019年9月17日泛微OA官方更新了一個遠端代碼執行漏洞更新檔,泛微e-cology OA系統的JAVA Beanshell接口可被未授權通路,攻擊者調用該Beanshell接口,可構造特定的HTTP請求繞過泛微本身一些安全限制進而達成遠端指令執行,漏洞等級嚴重。
影響版本
e-cology <=9.0
威脅等級
高危
漏洞複現
泛微OA BeanShell複現測試:http://url/weaver/bsh.servlet.BshServlet
如果能看到上面的界面,極有可能存在問題,請及時更新更新檔。
泛微官方安全更新檔
https://www.weaver.com.cn/cs/securityDownload.asp
免責聲明
請遵守《網絡安全法》等相關法律法規。
![jmeter使用BeanShell Sampler測試自己寫的java接口(一)[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)