近日�,國家信息安全漏洞庫(CNNVD)收到關于泛微E-cology OA系統(tǒng)SQL注入漏洞(CNNVD-201910-1226)情況的報送。2019年10月17日����,泛微e-cology OA發(fā)布了安全更新補丁,修復了SQL注入相關漏洞����,這次是在10月10日發(fā)布的SQL注入漏洞補丁后更新發(fā)布的最新漏洞補丁�����。成功利用此漏洞的攻擊者�,可以遠程獲取目標系統(tǒng)的數(shù)據(jù)庫敏感信息�����。泛微E-cology OA V9 V8版本均受此漏洞影響�。目前,泛微官方已發(fā)布漏洞補丁����,請用戶及時確認是否受到漏洞影響,盡快采取修補措施��。
一���、漏洞介紹
泛微E-cology OA系統(tǒng)是一套兼具企業(yè)信息門戶、知識管理���、數(shù)據(jù)中心����、工作流管理、人力資源管理�、客戶與合作伙伴管理、項目管理�����、財務管理�、資產管理功能的協(xié)同商務平臺。泛微e-cology OA系統(tǒng)存在SQL查詢語句過濾不嚴的情況(直接語句拼接)�����,從而導致SQL注入漏洞����,惡意攻擊者可以通過構造惡意查詢語句的攻擊代碼觸發(fā)漏洞,利用該漏洞可以獲取數(shù)據(jù)庫中敏感信息����。
通過對泛微E-cology OA系統(tǒng)在互聯(lián)網中的IP地址進行分析,2019年全球共19389個用戶聯(lián)網使用該系統(tǒng)��,主要用戶分布在中國���,共19040個���,其中北京地區(qū)用戶量最多�����,共4379個���。目前,該漏洞利用poc已經在網絡中流傳�����,存在較大風險�����,建議用戶及時采取解決措施��。
二��、危害影響
成功利用此漏洞的攻擊者���,可以遠程獲取目標系統(tǒng)的數(shù)據(jù)庫敏感信息。泛微E-cology OA V9 V8版本均受此漏洞影響��。
三、修復建議
目前��,泛微官方已發(fā)布漏洞補丁����,請用戶及時確認是否受到漏洞影響,盡快采取修補措施���。官方補丁地址如下:
https://www.weaver.com.cn/cs/securityDownload.asp
本通報由杭州安恒信息技術股份有限公司���、奇安信科技集團股份有限公司、深信服科技股份有限公司等CNNVD技術支撐單位提供支持��。
CNNVD將繼續(xù)跟蹤上述漏洞的相關情況��,及時發(fā)布相關信息���。如有需要���,可與CNNVD聯(lián)系。
聯(lián)系方式: cnnvd@itsec.gov.cn
經營性網站備案信息
可信網站信用評價
網絡警察提醒您
誠信網站
中國互聯(lián)網舉報中心
網絡舉報APP下載
