|
【网络安全预警】泛微OA前台SQL 注入漏洞时间:2019-10-11  普洱IT网,您身边的IT小顾问! 
一 前言 泛微专注于协同管理OA软件领域,并致力于以协同OA为核心,帮助企业构建全新的移动办公平台。作为协同管理软件行业的实力企业,泛微有业界优秀的协同管理软件产品。 二 漏洞简介 泛微e-cology OA系统的WorkflowCenterTreeData接口,且后端使用Oracle数据库时,由于内置SQL语句拼接不严,导致泛微e-cology OA系统存在SQL注入漏洞。攻击者利用该漏洞,可在未授权的情况下,远程发送精心构造的SQL语句,从而获取数据库敏感信息。 三 漏洞危害 经斗象安全应急响应团队分析,攻击者可以通过精心构造的请求包在受影响版本的泛微OA上进行SQL注入,从而泄露大量服务器数据。 四 影响范围 产品 weaver 版本 包括不限于8.x 组件 e-cology 五 漏洞复现 经斗象安全应急响应团队确认,漏洞确实存在,可以进行前台SQL注入。
六 修复方案 1、联系泛微官方进行升级e-cology 2、使用Waf进行拦截 七 参考 https://mp.weixin.qq.com/s/iB22Npjcyv8vFgKx8sLR8Q 以上是本次高危漏洞预警的相关信息 【互-动】
↓↓↓ 在评论区写下你的留言吧!
|
