风险提示｜泛微 e-office 远程代码执行漏洞

泛维e办公是泛维网络科技开发的协同管理平台，支持人力资源、财务、行政等多功能管理和移动办公。 \r

近日，长亭科技监测到，泛微官方发布了新补丁，修复了一个远程代码执行漏洞。 \r

长汀应急小组经分析发现，该漏洞是通过文件上传、文件包含实现远程代码执行。为了方便用户排查受影响资产，根据漏洞原理编写了X-POC远程检测工具和牧云本地检测工具。这些工具向公众开放下载和使用。 \r

\r

## 漏洞描述\r

未经身份验证的攻击者可以利用该漏洞在服务器上上传任意文件，最终实现远程代码执行。 \r

## 检测工具\r

\r

### X-POC远程检测工具\r

####检测方法\r

````\r

xpoc -r 410 -t http://xpoc.org\r

````\r

\r

\r

#### 如何获取该工具：\r

- https://github.com/chaitin/xpoc\r

- https://stack.chaitin.com/tool/detail/1036\r

\r

### 牧云本地检测工具\r

####检测方法\r

在本地主机上执行以下命令进行扫描：\r

````\r

weaver_eoffice_rce_ct_898014_scanner_windows_amd64.exe\r

``\r

\r

#### 如何获取工具\r

- https://stack.chaitin.com/tool/detail/1234\r

\r

## 影响范围\r

- 电子办公10.0_20230821\r

\r

## 解决方案\r

### 临时缓解计划\r

通过网络ACL策略限制访问源，例如只允许特定IP地址或地址段的访问请求。 \r

\r

### 升级修复计划\r

官方已经推出了新的修复补丁。建议所有受影响的用户尽快访问官网，更新版本至10.0_20230821及以上版本[1]。 \r

\r

## 产品支持\r

\r

- 云图：默认支持本产品的指纹识别，同时也支持该漏洞的PoC原理检测。 \r

- Insight：以自定义POC的形式支持。 \r

- 雷驰：默认支持该漏洞利用行为检测。 \r

- 知识全面：已发布规则升级包，支持对该漏洞的利用检测。 \r

- 牧云：使用管理平台23.05.001及以上版本的用户可以通过升级平台下载紧急漏洞情报库升级包（EMERVULN-23.09.026）。 “漏洞应急”功能支持对该漏洞的检测；其他管理平台版本请联系牧云技术支持团队获取该功能。 \r

\r

## 时间轴\r

- 9月25日互联网公开漏洞信息\r

- 9月25日，长汀应急小组收到漏洞信息\r

- 9月25日长汀应急实验室漏洞分析与复现\r

——9月26日，长汀县安全应急中心发布公告\r

\r

## 参考文献\r

1. https://www.e-office.cn/