0x00 漏洞描述
协作系统泛微e-cology OA被曝存在数据库配置信息泄露漏洞,如攻击者可直接访问数据库,则可直接获取用户数据,甚至可以直接控制数据库服务器。
0x01 漏洞复现
使用payload进行验证,直接访问该页面将为DES加密以后的乱码,需要使用DES算法结合硬编码的key进行解密。
该payload是利用Des密钥进行密文解密,如密钥不是1z2x3c4v5b6n,则不成功。
0x02 修复建议
https://www.weaver.com.cn/cs/package/JDK/Ecology_security_DB_20191024.zip
手握日月摘星辰,安全路上永不止步。