CVE-2022-50992泛微E-cology是国内广泛使用的协同办公OA系统。CVE-2022-50992是该系统中一个严重的安全漏洞,存在于XmlRpcServlet接口中。由于系统对WorkflowService组件的特定方法缺乏严格的权限校验和路径过滤,导致未经身份认证的远程攻击者可以读取服务器上的任意文件。攻击者可利用此漏洞获取敏感配置信息、数据库凭证等,进而威胁整个服务器的安全。
该漏洞的技术原理在于泛微E-cology的XML-RPC服务组件未正确处理用户输入且缺乏访问控制。具体而言,系统暴露的`WorkflowService`接口中的`getAttachment`和`LoadTemplateProp`方法,在处理文件读取请求时,未对调用者进行身份验证,也未对文件路径参数进行安全过滤。攻击者可直接构造恶意的XML-RPC数据包发往服务器,在参数中利用路径遍历序列(如`../`)跳过Web根目录。通过指定绝对路径或相对路径,攻击者能够读取系统任意位置的敏感文件,包括`WEB-INF`下的配置文件、数据库连接信息等。由于利用过程无需交互且可通过网络直接发起,该漏洞具有极高的可利用性。