漏洞风险提示 | 泛微 Ecology OA SQL 注入漏洞

预览

事件来源

泛微协同管理应用平台(e-cology)是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。
Ecology 官方在 4 月 18 日发布了补丁更新，修复了一处由墨云科技安全研究员报送的 SQL 注入漏洞。

漏洞描述

泛微 Ecology OA 系统由于对用户传入的数据过滤处理不当，导致存在 SQL 注入漏洞，远程且未经过身份认证的攻击者可利用此漏洞进行 SQL 注入攻击，从而可窃取数据库敏感信息。
长亭科技安全研究员经过分析后确认此漏洞同时影响 Ecology 9 和 8 两个版本系列，使用泛微 Ecology 的用户需尽快进行补丁更新升级。

远程检测工具：

复制链接：https://stack.chaitin.com/tool/detail?id=1 前往xray - CT Stack 安全社区下载最新版本xray。
执行：./xray ws --poc poc-yaml-weaver-ecology-oa-plugin-checkserver-setting-sqli --url http://example.com 即可扫描。

影响范围

• 泛微 ecology 9.x 补丁版本号 <= v10.56
• 泛微 ecology 8.x 补丁版本号 <= v10.56

解决方案

目前官方已发布安全补丁进行漏洞修复，用户可通过更新升级安全补丁至 v10.57 版本进行漏洞修复：
https://www.weaver.com.cn/cs/securityDownload.html?src=cn

产品支持

雷池：默认支持该漏洞检测
全悉: 默认支持该漏洞利用行为的检测
云图：默认支持该产品的指纹识别，同时支持该漏洞的PoC原理检测
洞鉴：自定义POC原理扫描检测
牧云：在 CTStack 社区中发布了漏洞排查小工具，下载链接 https://stack.chaitin.com/tool/detail?id=758

参考资料

https://www.weaver.com.cn/cs/securityDownload.html?src=cn
https://mp.weixin.qq.com/s/MbGaTNNYSlJlQeqQ-5_KSw