漏洞影响以及发现：

泛微 e-office v9.0，11月初本人发现该未公开漏洞并且上报SRC漏洞平台，现如今已被公开

• 微步情报局：https://mp.weixin.qq.com/s/P75K_0869h-nWHRMu06zgQ
  

漏洞复现：

- 该漏洞的形成主要是因为上传时没有对上传文件做严格的过滤校验，导致任意文件上传，调用方法 uploadPicture并且构造请求上传文件即可，上传成功后访问对应目录下的木马即可 /images/logo/logo-eoffice.php（自动改名）

复现步骤：

• 第一步：先访问进行登录
• 第二步：在左上角移动到框中便会出现一个上传图标处进行上传木马（上传的木马为php一句话木马）
  
• 第三步：上传成功后右键在新建页面查看木马的地址，该地址为木马地址，利用菜刀进行访问
  

标签：office,CNVD,漏洞,木马,logo,php,上传
来源： https://blog.csdn.net/MarkRao/article/details/121588964