【漏洞预警】泛微E-cology OA远程命令执行漏洞

iso60001 1700天前

2019年9月，白帽汇安全研究院观测到泛微官网更新了最新漏洞补丁，涉及一个高危漏洞——远程命令执行。该漏洞利用难度低，危害大，预计会对全球泛微e-cology OA造成较大影响。该漏洞是由于OA系统存在的java Beanshell接口缺乏权限控制措施，任意攻击者都可通过特意构造的请求直接调用接口远程执行命令，从而彻底控制服务器。该漏洞影响的软件版本较多，各泛微OA的网站管理人员请及时打上补丁。

泛微成立于2001年，在中国拥有巨大软件市场，覆盖86各行业，30000多企业，包括太平洋保险、中国中化在内的世界五百强，茅台、伊利在内中国知名企业都使用了泛微的办公软件。此次曝出漏洞的E-cology属于泛微旗下的大中型企业OA，被各大中小企业广泛使用，其中2018年9月27日发布的9.0版本也受该漏洞所影响。

概况

目前FOFA系统最新数据（一年内数据）显示全球范围内共有19376个泛微服务。中国使用数量最多，共有19035个，中国香港第二，共有111个，美国第三，共有95个，新加坡第四，共有31个，印度第五，共有18个。

全球范围内泛微e-cology OA分布情况如下（仅为分布情况，非漏洞影响情况）

中国大陆地区北京市使用数量最多，共有4376个，广东省第二，共有2011个，上海市第三，共有1366个，浙江省第四，共有1355个，江苏省第五，共有1162个。

危害等级

严重

漏洞原理

泛微通过resin来处理servlet，而在resin下lib文件夹的bsh.jar文件中有一个存在缺陷的类bsh.servlet.BshServlet。其中doGet函数会从getParameter中接受参数并交给evalsc ript函数处理，而evalsc ript函数又会调用localInterpreter.eval(paramString)，这个eval方法可以执行代码，最终导致远程命令执行。