近日,市委网信办技术支撑单位监测到泛微E-Office10远程代码执行漏洞,鉴于该产品用量较多,建议尽快做好自查及防护。
1.1漏洞描述
泛微 E-Office10是一款企业级办公自动化系统,主要用于优化和管理企业的文档、信息流转、协作与沟通工作流程。
由于系统处理上传的PHAR文件时存在缺陷,未经身份验证的远程攻击者能够上传伪装的恶意PHAR文件到服务器,从而在目标服务器上执行任意代码。
1.2漏洞编号
QVD-2024-11354
1.3漏洞等级
高危
二、修复建议
2.1受影响版本
v10.0_20180516 < E-Office10 < v10.0_20240222
2.2修复建议
官方已发布新版本修复漏洞,建议尽快使用服务管理平台升级到最新版或访问官网下载离线升级补丁(https://www.e-office.cn/)获取版本升级安装包或补丁。
