泛微e-cology OA SQL注入漏洞预警

释放双眼,带上耳机,听听看~!

1.安全公告


2019年10月10日,泛微e-cology OA发布了安全更新补丁,修复了一个SQL注入漏洞,相关链接:

https://www.weaver.com.cn/cs/securityDownload.asp


同时,国家信息安全漏洞共享平台(CNVD)也收录了该漏洞,编号:CNVD-2019-34241,相关链接:

https://www.cnvd.org.cn/webinfo/show/5235


根据公告,泛微e-cology OA在使用Oracle数据库时,存在SQL查询语句过滤不严的情况,从而导致SQL注入漏洞,恶意攻击者利用该漏洞可以获取数据库中敏感信息,建议使用该产品的用户尽快更新安全补丁。


2.漏洞详情


泛微e-cology OA系统的WorkflowCenterTreeData接口在使用Oracle数据库时,存在SQL查询语句过滤不严的情况,从而导致SQL注入漏洞,恶意攻击者利用该漏洞可以获取数据库中敏感信息,攻击者可以直接POST恶意查询语句到:/workflowcentertreedata.jsp,目前漏洞细节和测试代码已经公开,建议尽快更新安全补丁。


3.影响版本


泛微e-cology OA系统 JSP版本。

目前官方网站已经更新补丁,补丁地址:

https://www.weaver.com.cn/cs/securityDownload.asp


4.缓解措施


高危:目前漏洞细节和测试代码已经公开,强烈建议及时升级安全更新补丁,或是部署WAF等安全防护设备监控漏洞利用情况。


威胁推演:此漏洞为SQL注入漏洞,可以越权获取数据库数据,基于使用该产品用户的场景,恶意攻击者可能会利用该漏洞获取企业内部OA的敏感信息。


安全开发建议:泛微e-cology OA历史上报过多次安全漏洞,建议使用该产品的企业通过安全开发代码加固其用户输入过滤和随时关注安全更新公告。



本篇文章来源于微信公众号雷神众测: 雷神众测

人已赞赏
安全教程

利用DNS实现SQL注入带外查询

2019-10-13 15:27:43

安全教程

Impacket套件之远程命令执行功能讲解

2019-10-13 15:36:28

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索