【通告更新】泛微E-Office文件上传漏洞安全风险通告第二次更新

致力于第一时间为企业级用户提供安全风险通告和有效解决方案。

    近日，宇信安成科技监测到泛微E-Office文件上传漏洞(CNVD-2021-49104)存在在野利用。由于泛微E-Office未能正确处理上传模块中输入的数据，未授权的攻击者可以构造恶意数据包发送给服务器，实现任意文件上传，并且获得服务器的webshell，成功利用该漏洞可以获取服务器控制权，目前已监测到该漏洞存在在野利用。鉴于漏洞危害较大，利用无需权限，建议用户及时升级补丁。

    本次更新内容：

    更新漏洞状态，新增复现截图，新增产品解决方案

    当前漏洞状态

    漏洞描述

    泛微e-office是一款标准化的协同OA办公软件，实行通用化产品设计，充分贴合企业管理需求，本着简洁易用、高效智能的原则，为企业快速打造移动化、无纸化、数字化的办公平台。由于泛微E-Office未能正确处理上传模块中输入的数据，未授权的攻击者可以构造恶意数据包发送给服务器，实现任意文件上传，并且获得服务器的webshell，成功利用该漏洞可以获取服务器控制权，目前已监测到该漏洞存在在野利用。鉴于漏洞危害较大，利用无需权限，建议用户及时升级补丁。

    CNVD-2021-49104泛微E-Office文件上传漏洞

    宇信安成科技已第一时间复现泛微E-Office文件上传漏洞，截图如下:

    风险等级

    宇信安成科技风险评级为：高危

    风险等级：蓝色（一般事件）

    影响范围

    泛微E-Office9

    处置建议

    厂商已提供漏洞修补方案，建议用户下载使用：

    http://v10.e-office.cn/eoffice9update/safepack.zip