2019年9月，白帽汇安全研究院观测到泛微官网更新了最新漏洞补丁，涉及一个高危漏洞——远程命令执行。该漏洞利用难度低，危害大，预计会对全球泛微e-cology OA造成较大影响。该漏洞是由于OA系统存在的java Beanshell接口缺乏权限控制措施，任意攻击者都可通过特意构造的请求直接调用接口远程执行命令，从而彻底控制服务器。该漏洞影响的软件版本较多，各泛微OA的网站管理人员请及时打上补丁。

泛微成立于2001年，在中国拥有巨大软件市场，覆盖86各行业，30000多企业，包括太平洋保险、中国中化在内的世界五百强，茅台、伊利在内中国知名企业都使用了泛微的办公软件。此次曝出漏洞的E-cology属于泛微旗下的大中型企业OA，被各大中小企业广泛使用，其中2018年9月27日发布的9.0版本也受该漏洞所影响。

概况

目前FOFA系统最新数据（一年内数据）显示全球范围内共有19376个泛微服务。中国使用数量最多，共有19035个，中国香港第二，共有111个，美国第三，共有95个，新加坡第四，共有31个，印度第五，共有18个。

全球范围内泛微e-cology OA分布情况如下（仅为分布情况，非漏洞影响情况）

中国大陆地区北京市使用数量最多，共有4376个，广东省第二，共有2011个，上海市第三，共有1366个，浙江省第四，共有1355个，江苏省第五，共有1162个。

危害等级

严重

漏洞原理

泛微通过resin来处理servlet，而在resin下lib文件夹的bsh.jar文件中有一个存在缺陷的类bsh.servlet.BshServlet。其中doGet函数会从getParameter中接受参数并交给evalsc ript函数处理，而evalsc ript函数又会调用localInterpreter.eval(paramString)，这个eval方法可以执行代码，最终导致远程命令执行。

漏洞影响

目前漏洞影响版本号包括：

泛微E-cology =< 9.0

漏洞POC

目前FOFA客户端平台已经更新该远程命令执行漏洞的检测POC。

POC截图

CVE编号

暂无编号 

修复建议

1、官网已发布安全更新，用户可以通过网址https://www.weaver.com.cn/cs/securityDownload.asp获得。

2、如暂时无法更新到最新版本，请使用防火墙等第三方设备对敏感路径BshServlet/进行拦截。

参考

[1] https://www.weaver.com.cn/

[2] http://blog.nsfocus.net/weaver-e-cology/

白帽汇从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。