泛微 eoffice10 前台任意文件写入漏洞 漏洞概述 泛微 eoffice10 办公平台存在前台任意文件写入漏洞。攻击者可通过构造特定的 HTTP 请求,将恶意文件(如 Webshell)上传至服务器,从而获取服务器权限。 影响范围 泛微 eoffice10 版本 修复方案 升级至官方最新安全版本。 限制文件上传目录的执行权限。 对上传文件类型进行严格校验。 POC/利用代码 1. 构造上传表单 (html文件) 2. 抓包修改请求内容 3. 写入的文件地址 4. 获取 Shell 如果想要 getshell,直接写入 webshell 即可。