泛微OA ifNewsCheckOutByCurrentUser SQL注入漏洞

预览

泛微OA ifNewsCheckOutByCurrentUser 存在SQL注入漏洞

预览

1、数据泄露：攻击者可以通过注入恶意SQL语句来获取数据库中的敏感信息，如用户密码、信用卡信息；
2、数据篡改：攻击者可以利用注入攻击修改或删除数据库中的数据，如修改用户账户信息或删除关键数据；
3、服务器攻击：攻击者可以利用注入攻击在服务器上执行恶意代码，如上传恶意脚本或获取服务器的管理员权限；
4、服务拒绝：攻击者可以通过注入攻击导致服务器宕机或无法正常工作，从而影响服务的可用性。

预览

升级步骤：

1. 版本查看方式：用sysadmin登录，访问:/security/monitor/Monitor.jsp;查看【环境信息】tab页，可以看到当前安全包版本。
   如果页面上有“下载并更新”按钮的话，可以点击尝试能否完成自动更新，过程中不会重启服务。
   如果自动更新失败，再去做手动升级。

2. 安全包下载地址：
   https://www.weaver.com.cn/cs/securityDownload.html#
   升级步骤：停服务-备份补丁包对应文件-覆盖补丁包-重启服务

3. 更新后的检测方式：可用sysadmin登录，直接访问/security/checksec20230707.jsp，如果报404错误或者检测不通过，说明尚未推送到或者贵公司服务器无法连接外网自动更新，请手动下载最新安全包更新。
   临时修复方案：
   1.在不影响业务的情况下配置URL访问控制策略；
   2.对服务器上的网站后门文件进行及时查杀。