【安全公告】泛微E-Office SQL注入和文件包含漏洞通告

admin 2022年6月9日16:30:28安全漏洞评论96 views1111字阅读3分42秒阅读模式

漏洞名称

泛微 E-Office SQL 注入和文件包含漏洞

组件名称

泛微 E-Office

安全公告链接

1.https://www.cnvd.org.cn/flaw/show/CNVD-2022-43247

2.https://www.cnvd.org.cn/flaw/show/CNVD-2022-43246


漏洞分析


组件介绍

泛微成立于 2001 年,总部设立于上海,专注于协同管理 OA 软件领域,并致力于以协同 OA 为核心帮助企业构建全新的移动办公平台。


泛微 E-Office 是一款标准化的协同 OA 办公软件,实行通用化产品设计,充分贴合企业管理需求,本着简洁易用、高效智能的原则,为企业快速打造移动化、无纸化、数字化的办公平台。


2 漏洞描述

2022年6月8日,深信服安全团队监测到泛微 E-Office SQL 注入和文件包含漏洞的安全通告,其中包含2个高危漏洞信息。


【安全公告】泛微E-Office SQL注入和文件包含漏洞通告


泛微 E-Office SQL注入漏洞(CNVD-2022-43246)

攻击者可利用该漏洞在未授权的情况下,构造恶意数据攻击,最终可造成服务器敏感性信息泄露。


泛微 E-Office 文件包含漏洞(CNVD-2022-43247)

该漏洞是由于存在文件包含的危险函数可直接被利用,攻击者可利用该漏洞在未授权的情况下,构造含有恶意数据的文件,通过该漏洞对文件包含后,最终可获取服务器最高权限。





影响范围


泛微 E-Office 本着简洁易用、高效智能的原则,为企业快速打造移动化、无纸化、数字化的办公平台,因此成为国内特别流行的办公平台之一。可能受漏洞影响的资产广泛分布于全国各地,广东、北京等省市接近 70%。





解决方案


 

1 官方修复建议

当前官方已发布受影响版本的对应补丁,建议受影响的用户及时更新官方的安全补丁。


打补丁方法:

通过在线管理端更新版本的方式可直接在线下载补丁包,自动更新到不受到该漏洞影响的版本。


参考链接

 


1.https://www.cnvd.org.cn/flaw/show/CNVD-2022-43247

2.https://www.cnvd.org.cn/flaw/show/CNVD-2022-43246


时间轴


2022/6/8  深信服监测到泛微 E-Office SQL 注入和文件包含漏洞通告。 

2022/6/8  深信服千里目安全实验室发布漏洞通告。



点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。

【安全公告】泛微E-Office SQL注入和文件包含漏洞通告


深信服千里目安全实验室

【安全公告】泛微E-Office SQL注入和文件包含漏洞通告

深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。

● 扫码关注我们





原文始发于微信公众号(深信服千里目安全实验室):【安全公告】泛微E-Office SQL注入和文件包含漏洞通告

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月9日16:30:28
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  【安全公告】泛微E-Office SQL注入和文件包含漏洞通告 http://cn-sec.com/archives/1099013.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: