一、背景介绍
近日,市委网信办技术支撑单位监测到泛微E-Office10远程代码执行漏洞,鉴于该产品用量较多,建议尽快做好自查及防护。
1.1 漏洞描述
泛微 E-Office10是一款企业级办公自动化系统,主要用于优化和管理企业的文档、信息流转、协作与沟通工作流程。
由于系统处理上传的PHAR文件时存在缺陷,未经身份验证的远程攻击者能够上传伪装的恶意PHAR文件到服务器,从而在目标服务器上执行任意代码。
1.2 漏洞编号
QVD-2024-11354
1.3漏洞等级
高危
二、修复建议
2.1 受影响版本
v10.0_20180516 < E-Office10 < v10.0_20240222
2.2 修复建议
官方已发布新版本修复漏洞,建议尽快使用服务管理平台升级到最新版或访问官网下载离线升级补丁(https://www.e-office.cn/)获取版本升级安装包或补丁。