某微RCE漏洞,附流量检测规则
某微RCE漏洞,附流量检测规则
OneTS安全团队
发布于 2025-02-07 16:34:47
发布于 2025-02-07 16:34:47
代码可运行
运行总次数:0
代码可运行
声明
本文属于OneTS安全团队成员98的原创文章,转载请声明出处!本文章仅用于学习交流使用,因利用此文信息而造成的任何直接或间接的后果及损失,均由使用者本人负责,OneTS安全团队及文章作者不为此承担任何责任。
e-cology介绍
e-cology是泛微网络科技股份有限公司推出的一款企业级协同管理平台,它通过集成办公自动化、知识管理、客户关系管理、人力资源管理等多功能模块,为企业提供了一个全面的数字化工作空间。
e-cology-10.0依托全新的技术理念,全新的管理思想。为中大型组织创建全新的数字化运营平台。前端 融合千余种丰富应用场景,开箱即用。中端 借助低代码平台,满足组织个性化应用需求 。后端 底层微服务架构、多租户设计,数据库读写分离,云私一体部署 融合 “智能化、平台化、全程数字化、内外协同、信创” 等多种能力 为您带来全新用户体验。
漏洞描述
泛微Ecology-10.0存在远程代码执行漏洞,该漏洞通过Ecology-10.0前台获取管理员访问令牌,然后通过JDBC反序列化和实现RCE。
漏洞影响版本
e-cology-10.0
资产测绘平台Dork
app="泛微-OA(e-cology)"漏洞复现
漏洞复现相关截图
漏洞检测规则
# Suricata检测规则
alert http any any -> any any (msg:"ecology 10.0 OneTS1"; flow: established,to_server; http.uri.raw; content:"/papi/passport/rest/appThirdLogin"; flowbits: set,ecology_papi_OneTS_1;noalert; )
alert http any any -> any any (msg:"ecology 10.0 OneTS2"; flow: established,to_client; http.header; content:"application/json"; http.response_body; content:"serviceTicketId"; content:"success"; content:"true"; content:"tgtId"; content:"message"; flowbits: isset,ecology_papi_OneTS_1;set,ecology_papi_OneTS_2; noalert; )
alert http any any -> any any (msg:"ecology 10.0 OneTS3"; flow: established,to_server; http.uri.raw; content:"/papi/passport/login/generateEteamsId"; flowbits: isset,ecology_papi_OneTS_2; set,ecology_papi_OneTS_3;noalert; )
alert http any any -> any any (msg:"ecology 10.0 OneTS4"; flow: established,to_client; http.header; content:"application/json"; http.response_body; content:"data"; flowbits: isset,ecology_papi_OneTS_4; )漏洞修复建议 联系厂家获取补丁进行修复
关注OneTS安全团队,将为您带来更多前沿安全资讯
本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2024-08-20,如有侵权请联系 cloudcommunity@tencent.com 删除
评论
登录后参与评论
推荐阅读
腾讯云开发者
