【网络安全预警】泛微OA前台SQL 注入漏洞
作者:
普洱IT网
【
转载
】
来源:
斗象智能安全平台
2019-10-11
普洱IT网,您身边的IT小顾问!
一
前言
泛微专注于协同管理OA软件领域,并致力于以协同OA为核心,帮助企业构建全新的移动办公平台。作为协同管理软件行业的实力企业,泛微有业界优秀的协同管理软件产品。
二
漏洞简介
泛微e-cology OA系统的WorkflowCenterTreeData接口,且后端使用Oracle数据库时,由于内置SQL语句拼接不严,导致泛微e-cology OA系统存在SQL注入漏洞。攻击者利用该漏洞,可在未授权的情况下,远程发送精心构造的SQL语句,从而获取数据库敏感信息。
三
漏洞危害
经斗象安全应急响应团队分析,攻击者可以通过精心构造的请求包在受影响版本的泛微OA上进行SQL注入,从而泄露大量服务器数据。
四
影响范围
产品
weaver
版本
包括不限于8.x
组件
e-cology
五
漏洞复现
经斗象安全应急响应团队确认,漏洞确实存在,可以进行前台SQL注入。
六
修复方案
1、联系泛微官方进行升级e-cology
2、使用Waf进行拦截
七
参考
https://mp.weixin.qq.com/s/iB22Npjcyv8vFgKx8sLR8Q
以上是本次高危漏洞预警的相关信息
【互-动】
来一起聊一聊‘泛微OA前台SQL 注入漏洞’?
↓↓↓
在评论区写下你的留言吧!
推荐
-
-
QQ空间
-
新浪微博
-
人人网
-
豆瓣
