事件背景
2019年9月17日泛微OA官方更新了一个远程代码执行漏洞补丁,泛微e-cology OA系统的JAVA Beanshell接口可被未授权访问,攻击者调用该Beanshell接口,可构造特定的HTTP请求绕过泛微本身一些安全限制从而达成远程命令执行,漏洞等级严重。
影响版本
e-cology <=9.0
威胁等级
高危
漏洞复现
泛微OA BeanShell复现测试:http://url/weaver/bsh.servlet.BshServlet

如果能看到上面的界面,极有可能存在问题,请及时更新补丁。
泛微官方安全补丁
https://www.weaver.com.cn/cs/securityDownload.asp
免责声明
请遵守《网络安全法》等相关法律法规。