近日���,國(guó)家信息安全漏洞庫(kù)(CNNVD)收到關(guān)于泛微E-cology OA系統(tǒng)SQL注入漏洞(CNNVD-201910-647)情況的報(bào)送。成功利用此漏洞的攻擊者��,可以遠(yuǎn)程獲取目標(biāo)系統(tǒng)的數(shù)據(jù)庫(kù)敏感信息���。泛微E-cology OA系統(tǒng) JSP版本均受此漏洞影響�。目前,泛微官方已發(fā)布漏洞補(bǔ)丁���,請(qǐng)用戶及時(shí)確認(rèn)是否受到漏洞影響����,盡快采取修補(bǔ)措施����。
一、漏洞介紹
泛微E-cology OA系統(tǒng)是一套兼具企業(yè)信息門戶����、知識(shí)管理、數(shù)據(jù)中心����、工作流管理、人力資源管理�����、客戶與合作伙伴管理����、項(xiàng)目管理��、財(cái)務(wù)管理�、資產(chǎn)管理功能的協(xié)同商務(wù)平臺(tái)�。泛微e-cology OA系統(tǒng)的WorkflowCenterTreeData接口在使用Oracle數(shù)據(jù)庫(kù)時(shí),由于內(nèi)置SQL語(yǔ)句拼接不嚴(yán)格,導(dǎo)致泛微e-cology OA系統(tǒng)存在SQL注入漏洞。攻擊者利用該漏洞��,可在未授權(quán)的情況下����,遠(yuǎn)程發(fā)送精心構(gòu)造的SQL語(yǔ)句,從而獲取數(shù)據(jù)庫(kù)敏感信息��。
通過(guò)對(duì)泛微E-cology OA系統(tǒng)在互聯(lián)網(wǎng)中的IP地址進(jìn)行分析����,2019年全球共19389個(gè)用戶聯(lián)網(wǎng)使用該系統(tǒng),主要用戶分布在中國(guó)�����,共19040個(gè)����,其中北京地區(qū)用戶量最多���,共4379個(gè)���,域名為gov的政府用戶共102個(gè)��。目前�,該漏洞利用poc已經(jīng)在網(wǎng)絡(luò)中流傳����,存在較大風(fēng)險(xiǎn),建議用戶及時(shí)采取解決措施���。
二���、危害影響
成功利用此漏洞的攻擊者,可以遠(yuǎn)程獲取目標(biāo)系統(tǒng)的數(shù)據(jù)庫(kù)敏感信息��。泛微E-cology OA系統(tǒng) JSP版本均受此漏洞影響����。
三、修復(fù)建議
目前����,泛微官方已發(fā)布漏洞補(bǔ)丁�����,請(qǐng)用戶及時(shí)確認(rèn)是否受到漏洞影響���,盡快采取修補(bǔ)措施。官方補(bǔ)丁地址如下:
https://www.weaver.com.cn/cs/securityDownload.asp
本通報(bào)由北京華順信安科技有限公司(白帽匯)�、奇安信科技集團(tuán)股份有限公司、上海斗象信息科技有限公司��、北京神州綠盟信息安全科技股份有限公司�、安恒信息技術(shù)有限公司、知道創(chuàng)宇404實(shí)驗(yàn)室等CNNVD技術(shù)支撐單位提供支持�����。
CNNVD將繼續(xù)跟蹤上述漏洞的相關(guān)情況�����,及時(shí)發(fā)布相關(guān)信息�。如有需要,可與CNNVD聯(lián)系�����。
聯(lián)系方式: cnnvd@itsec.gov.cn
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
