0°

预警泛微e-cology OA系统前台SQL注入漏洞

2019年10月10日,本站安全专题监测到国家信息安全漏洞共享平台(CNVD)披露了泛微e-cology OA系统前台SQL注入漏洞。攻击者通过构造特定的HTTP请求,成功利用漏洞可在目标服务器上执行SQL语句,风险极大。

漏洞描述

泛微e-cology OA系统的WorkflowCenterTreeData接口在使用Oracle数据库时,由于内置SQL语句拼接不严,导致泛微e-cology OA系统存在SQL注入漏洞。攻击者利用该漏洞,可在未授权的情况下,远程发送精心构造的SQL语句,从而获取数据库敏感信息。本站安全专题已捕获该0day漏洞利用方式,漏洞真实存在且风险极大,本站安全专题提醒泛微e-cology OA用户尽快采取安全措施阻止漏洞攻击。

影响版本

泛微e-cology OA系统 JSP版

安全建议

泛微e-cology OA系统为商业软件,泛微官方已发布安全更新补丁,请及时下载更新。

官方补丁下载地址:https://www.weaver.com.cn/cs/securityDownload.asp

EC7.0及以下版本安全补丁: https://www.weaver.com.cn/cs/package/Ecology_security_20191010_v6.28.zip

EC8.0及以上版本安全补丁: https://www.weaver.com.cn/cs/package/Ecology_security_20191010_v10.18.zip

云盾云中心已可防御此漏洞攻击

云盾云中心已支持对该漏洞检测

云盾云中心应急漏洞模块已支持对该漏洞一键检测

相关链接

https://www.cnvd.org.cn/webinfo/show/5235

我们会关注后续进展,请随时关注官方公告。

内容来自网络,如有侵犯到您的权益,请联系站长QQ7529997,我们将及时处理。

本站安全专题

2019.10.10

「点点赞赏,手留余香」

    还没有人赞赏,快来当第一个赞赏的人吧!