近日,市委网信办收到中央网信办下发泛微E-Cology getFileViewUrl SSRF漏洞的风险提示,目前该漏洞PoC已在互联网上公开,鉴于该漏洞影响范围较大,建议各单位尽快做好自查及防护。
1.1漏洞描述
泛微 e-cology是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。
泛微E-Cology getFileViewUrl接口处存在服务器请求伪造漏洞,未经身份验证的远程攻击者利用此漏洞扫描服务器所在的内网或本地端口,获取服务的banner信息,窥探网络结构,甚至对内网或本地运行的应用程序发起攻击,获取服务器内部敏感配置,造成信息泄露。
1.2漏洞等级
高危
二、修复建议
2.1受影响版本
泛微E-Cology
2.2修复建议
目前官方已发布安全补丁,建议受影响用户尽快升级至安全版本。
官方补丁下载地址:https://www.weaver.com.cn/cs/securityDownload.asp
