安全公告

【漏洞预警】泛微e-cology OA系统前台SQL注入漏洞

2019-10-13 22:02:56 mimukeji

2019年10月10日,阿里云应急响应中心监测到国家信息安全漏洞共享平台(CNVD)披露了泛微e-cology OA系统前台SQL注入漏洞。攻击者通过构造特定的HTTP请求,成功利用漏洞可在目标服务器上执行SQL语句,风险极大。


漏洞描述

泛微e-cology OA系统的WorkflowCenterTreeData接口在使用Oracle数据库时,由于内置SQL语句拼接不严,导致泛微e-cology OA系统存在SQL注入漏洞。攻击者利用该漏洞,可在未授权的情况下,远程发送精心构造的SQL语句,从而获取数据库敏感信息。阿里云应急响应中心已捕获该0day漏洞利用方式,漏洞真实存在且风险极大,阿里云应急响应中心提醒泛微e-cology OA用户尽快采取安全措施阻止漏洞攻击。


影响版本

泛微e-cology OA系统 JSP版


安全建议

泛微e-cology OA系统为商业软件,泛微官方已发布安全更新补丁,请及时下载更新。

官方补丁下载地址:https://www.weaver.com.cn/cs/securityDownload.asp

EC7.0及以下版本安全补丁: https://www.weaver.com.cn/cs/package/Ecology_security_20191010_v6.28.zip

EC8.0及以上版本安全补丁: https://www.weaver.com.cn/cs/package/Ecology_security_20191010_v10.18.zip



云盾WAF已可防御此漏洞攻击

云盾漏洞扫描已支持对该漏洞检测

云盾云安全中心应急漏洞模块已支持对该漏洞一键检测


相关链接

https://www.cnvd.org.cn/webinfo/show/5235



我们会关注后续进展,请随时关注官方公告。


阿里云优惠新机+优惠券

本文转载自网络,如有侵权,请联系我们删除。

COPYRIGHT © 2018-2019,WWW.51MIMU.COM,ALL RIGHTS RESERVED版权所有 © 广州米姆信息科技有限公司 粤ICP备18145377号

地址:广州市天河区广园东路2191号时代新世界中心南塔21楼07、08单元 电话:020-22822863
14737363737