长亭百川云 - 文章详情

漏洞风险提示 | 泛微 Ecology OA SQL 注入漏洞

CT Stack

70

2023-04-21

事件来源

泛微协同管理应用平台(e-cology)是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。
Ecology 官方在 4 月 18 日发布了补丁更新,修复了一处由墨云科技安全研究员报送的 SQL 注入漏洞。

漏洞描述

泛微 Ecology OA 系统由于对用户传入的数据过滤处理不当,导致存在 SQL 注入漏洞,远程且未经过身份认证的攻击者可利用此漏洞进行 SQL 注入攻击,从而可窃取数据库敏感信息。
长亭科技安全研究员经过分析后确认此漏洞同时影响 Ecology 9 和 8 两个版本系列,使用泛微 Ecology 的用户需尽快进行补丁更新升级。

远程检测工具

复制链接:https://stack.chaitin.com/tool/detail?id=1 前往xray - CT Stack 安全社区下载最新版本xray。
执行:./xray ws --poc poc-yaml-weaver-ecology-oa-plugin-checkserver-setting-sqli --url http://example.com 即可扫描。

影响范围

  • 泛微 ecology 9.x 补丁版本号 <= v10.56
  • 泛微 ecology 8.x 补丁版本号 <= v10.56

解决方案

目前官方已发布安全补丁进行漏洞修复,用户可通过更新升级安全补丁至 v10.57 版本进行漏洞修复:
https://www.weaver.com.cn/cs/securityDownload.html?src=cn

产品支持

雷池:默认支持该漏洞检测
全悉: 默认支持该漏洞利用行为的检测
云图:默认支持该产品的指纹识别,同时支持该漏洞的PoC原理检测
洞鉴:自定义POC原理扫描检测
牧云:在 CTStack 社区中发布了漏洞排查小工具,下载链接 https://stack.chaitin.com/tool/detail?id=758

参考资料

https://www.weaver.com.cn/cs/securityDownload.html?src=cn
https://mp.weixin.qq.com/s/MbGaTNNYSlJlQeqQ-5_KSw

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2