Goby 漏洞发布｜泛微 e-cology v10 appThirdLogin 权限绕过漏洞【漏洞复现】

漏洞名称：泛微 e-cology v10 appThirdLogin 权限绕过漏洞
English Name：Weaver e-cology v10 appThirdLogin Permission Bypass Vulnerability
CVSS core: 7.5

漏洞描述：

泛微新一代数字化运营构建平台E10，是基于原eteams平台之上全新研发，同时融合了原E9产品的所有功能，最终研发出全新平台。

其appThirdLogin接口及后续接口，存在Cookie伪造漏洞，未经授权的攻击者可以伪造Cookie，进行Cookie的相关利用，获取账户密码，登录后台，从而造成危害。

FOFA查询语句：

body=“/build/passport/static/js/lib.js” && body=“/build/ecodesdk/static/js/lib.js”

受影响资产数量: 534

受影响产品:

影响产品：E8和E9 （所有版本都需要升级此补丁包）

解决方案：

1、关注官方补丁发布信息，打上补丁：https://www.weaver.com.cn/cs/security/edm20240814_kdielfrovkewpiiuyrtewtw.html

2、升级到最新版本：
（1）手动升级
（2）用sysadmin登录oa系统，访问/security/monitor/Monitor.jsp，点击【环境信息】点击【下载并应用更新】，建议业务低峰期升级

漏洞检测工具：

【Goby】-资产绘测及实战化漏洞扫描工具，实战漏洞利用效果如图所示：

下载Goby：Goby下载

查看Goby更多漏洞：Goby历史漏洞合集

关注Goby公众号获取最新动态：Gobysec