CVE-2022-50993泛微E-Office在10.0_20221201之前的版本中存在严重的未授权任意文件上传漏洞。攻击者无需身份认证,即可利用OfficeServer.php接口通过构造恶意的multipart POST请求上传任意文件。由于系统未对上传文件的类型和后缀进行有效校验,攻击者可上传PHP Webshell,并通过HTTP请求访问执行,从而获取服务器权限,造成远程代码执行。该漏洞利用门槛低,危害极大。
该漏洞的核心在于泛微E-Office的OfficeServer.php接口对文件上传处理存在逻辑缺陷。攻击者无需登录账号,直接向该接口发送构造的multipart/form-data格式的POST请求。在请求包中,攻击者可以将恶意PHP代码伪装成正常文件(通过修改文件名为.php,同时设置Content-Type为允许的类型如image/jpeg),绕过前端或中间件的简单过滤。服务器接收请求后,会将文件保存到默认的Document目录中。由于系统没有对上传后的文件进行重命名或后缀白名单校验,攻击者可以直接预测文件的访问路径。随后,攻击者通过浏览器发送GET请求访问该PHP文件,Web服务器解析器执行恶意代码,导致攻击者获得服务器端的远程代码执行权限(RCE)。