安全公告编号:CVE-2023-2648

一、基本情况

泛微（Weaver）E-Office是泛微旗下的标准协同办公平台E-Office产品，旨在提升组织管理与协同效率。

二、漏洞描述

5月16日，泛微 E-Office v9.5被披露存在文件上传漏洞（CVE-2023-2648），其CVSSv3评分为6.3，目前该漏洞的PoC已经公开披露。

泛微E-Office v9.5 在uploadify.php存在文件上传漏洞，可利用该漏洞上传任意文件，执行任意命令并控制服务器。
三、影响范围

泛微E-Office 版本9.5

四、修复建议

受影响用户可升级到泛微E-Office 版本> 9.5，或升级到当前最新版本。

下载链接：

https://service.e-office.cn/download

五、参考链接

https://github.com/sunyixuan1228/cve/blob/main/weaver.md

https://nvd.nist.gov/vuln/detail/CVE-2023-2648

https://vuldb.com/?ctiid.228777