一、漏洞描述

泛微E-Office是一款企业级的全流程办公自动化软件，它包括协同办公、文档管理、知识管理、工作流管理等多个模块，涵盖了企业日常工作中的各个环节。泛微E-Office能够帮助企业实现全流程数字化、自动化，提高工作效率和管理质量，降低管理成本，为企业提供全面、高效、便捷的办公服务。

该系统download.php存在任意文件下载漏洞，通过该漏洞攻击者可以下载服务上任意文件

二、网络空间搜索引擎查询

fofa查询

app="泛微-EOffice" 

三、漏洞复现

POC

burp发包读取host文件

四 、漏洞检测

单个检测

python eofficeDownload.py -u url

批量检测

python eofficeDownload.py -f file

关注公众号 网络安全透视镜 回复 20231022 获取POC及批量检测脚本