漏洞名称:
泛微 E-Office SQL 注入和文件包含漏洞
组件名称:
泛微 E-Office
安全公告链接:
1.https://www.cnvd.org.cn/flaw/show/CNVD-2022-43247
2.https://www.cnvd.org.cn/flaw/show/CNVD-2022-43246
漏洞分析
1 组件介绍
泛微成立于 2001 年,总部设立于上海,专注于协同管理 OA 软件领域,并致力于以协同 OA 为核心帮助企业构建全新的移动办公平台。
泛微 E-Office 是一款标准化的协同 OA 办公软件,实行通用化产品设计,充分贴合企业管理需求,本着简洁易用、高效智能的原则,为企业快速打造移动化、无纸化、数字化的办公平台。
2 漏洞描述
2022年6月8日,深信服安全团队监测到泛微 E-Office SQL 注入和文件包含漏洞的安全通告,其中包含2个高危漏洞信息。
泛微 E-Office SQL注入漏洞(CNVD-2022-43246)
攻击者可利用该漏洞在未授权的情况下,构造恶意数据攻击,最终可造成服务器敏感性信息泄露。
泛微 E-Office 文件包含漏洞(CNVD-2022-43247)
该漏洞是由于存在文件包含的危险函数可直接被利用,攻击者可利用该漏洞在未授权的情况下,构造含有恶意数据的文件,通过该漏洞对文件包含后,最终可获取服务器最高权限。
影响范围
泛微 E-Office 本着简洁易用、高效智能的原则,为企业快速打造移动化、无纸化、数字化的办公平台,因此成为国内特别流行的办公平台之一。可能受漏洞影响的资产广泛分布于全国各地,广东、北京等省市接近 70%。
解决方案
1 官方修复建议
当前官方已发布受影响版本的对应补丁,建议受影响的用户及时更新官方的安全补丁。
打补丁方法:
通过在线管理端更新版本的方式可直接在线下载补丁包,自动更新到不受到该漏洞影响的版本。
参考链接
1.https://www.cnvd.org.cn/flaw/show/CNVD-2022-43247
2.https://www.cnvd.org.cn/flaw/show/CNVD-2022-43246
时间轴
2022/6/8 深信服监测到泛微 E-Office SQL 注入和文件包含漏洞通告。
2022/6/8 深信服千里目安全实验室发布漏洞通告。
点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。
深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。
● 扫码关注我们
原文始发于微信公众号(深信服千里目安全实验室):【安全公告】泛微E-Office SQL注入和文件包含漏洞通告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论