泛微e-office是泛微旗下的一款标准协同移动办公平台。近日,阿里云监测到泛微E-Office文件上传漏洞(CNVD-2021-49104)存在在野利用。由于泛微 E-Office 未能正确处理上传模块中输入的数据,未授权的攻击者可以构造恶意数据包发送给服务器,实现任意文件上传,并且获得服务器的webshell,成功利用该漏洞可以获取服务器控制权,目前已监测到该漏洞存在在野利用。鉴于漏洞危害较大,利用无需权限,建议用户及时升级补丁。
厂商已提供漏洞修补方案,建议用户下载使用: http://v10.e-office.cn/eoffice9update/safepack.zip