Weaver E-cology 9.5 未授权任意文件读取漏洞 漏洞概述 Weaver (泛微) E-cology 9.5 版本中存在一个未授权任意文件读取漏洞。攻击者可以通过 接口,利用 和 方法,无需认证即可读取服务器上的任意文件。 影响范围 受影响版本:Weaver E-cology 9.5 < v10.52 发布日期:2022-07-31 CVSS 评分:HIGH CVSS 向量:CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/V:C/H:N/V:N/S:C/N:S/E:N/SC:N/SA:N 修复方案 升级到 v10.52 或更高版本。 参考链接 Software Download Page E-cology Changelog CNVD-2022-43245 Researcher Blog (1) Researcher Blog (2) 描述 Weaver (泛微) E-cology 9.5 版本中存在一个任意文件读取漏洞,该漏洞位于 接口的 XML-RPC 端点。攻击者可以通过提供文件路径到 和 方法来利用此漏洞。攻击者可以利用这些方法无需认证即可读取敏感文件,包括系统配置文件和数据库凭证。利用证据首次由 Shadowserver Foundation 在 2022-12-14 (UTC) 观察到。 贡献者 The Shadowserver Foundation