漏洞描述
泛微 ofslogin.jsp 的逻辑处理不当,同时使用默认密钥,导致存在任意用户登陆漏洞。
漏洞危害
1、窃取敏感信息:攻击者可以通过绕过系统的访问控制机制,窃取系统中的敏感信息,例如用户的身份信息、密码、银行卡信息等。
2、修改或删除数据:攻击者可以利用绕过权限的漏洞,修改或删除系统中的数据,对受害者造成损失。
检测工具
修复方法
一、临时缓解措施:
在确保业务不受影响的前提下,可暂时拦截对/mobile/plugin/1/ofsLogin.jsp接口的访问请求。
限制访问来源地址,如非必要,不要将系统开放在互联网上。
二、升级修复方案:
升级产品至最新版本,下载地址:https://www.weaver.com.cn/ 或 https://www.weaver.com.cn/e9/
评分维度
长亭安全产品覆盖情况
漏洞时间线
漏洞披露
2023-05-15
漏洞信息更新
2025-03-24
