E-Cology以移动互联下的组织社交化转型需求为导向,采用轻前端重后端的设计思路,在前端面向用户提供个性化的办公平台,后端引擎帮助企业高效整合既有的IT资源生成符合用户需求的IT应用,并能够与e-mobile、移动集成平台等双剑合璧,帮助企业通过APP、微信、钉钉等多种路径实现移动协同办公。
01 漏洞描述
漏洞类型:SQL注入漏洞
GET /weaver/weaver.docs.docs.ShowDocsImageServlet?docId=1 HTTP/1.1
Host: host
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15
Connection: close
Accept-Encoding: gzip
02 漏洞影响版本
E-Cology 8
03 漏洞修复方案
2. 不方便系统升级可部署WAF对攻击进行拦截
3. 人工检查注入接口,增加过滤语句
04 参考链接
https://articles.zsxq.com/id_wi76x3rtxf14.html
原文始发于微信公众号(锋刃科技):泛微OA E-Cology8前台某接口存在SQL注入漏洞(复现)
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论