泛微OA E-Cology8前台某接口存在SQL注入漏洞(复现)

admin 2024年8月6日07:59:23评论22 views字数 800阅读2分40秒阅读模式

 

泛微OA E-Cology8前台某接口存在SQL注入漏洞(复现)
泛微OA E-Cology前台某接口存在SQL注入漏洞

 

E-Cology以移动互联下的组织社交化转型需求为导向,采用轻前端重后端的设计思路,在前端面向用户提供个性化的办公平台,后端引擎帮助企业高效整合既有的IT资源生成符合用户需求的IT应用,并能够与e-mobile、移动集成平台等双剑合璧,帮助企业通过APP、微信、钉钉等多种路径实现移动协同办公。

01 漏洞描述

漏洞类型:SQL注入漏洞

影响:影响系统的完整性与机密性,造成数据库信息泄露,可进一步造成其他的安全风险
简述:泛微E-Cology8存在未授权的SQL注入漏洞,远程攻击者利用该漏洞在无需任何授权前提下,可前台执行SQL注入并获取数据库敏感信息,造成严重的信息泄露以及其他可能的安全风险。漏洞风险等级高危。
GET /weaver/weaver.docs.docs.ShowDocsImageServlet?docId=1 HTTP/1.1Host: hostUser-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15Connection: closeAccept-Encoding: gzip

泛微OA E-Cology8前台某接口存在SQL注入漏洞(复现)

 

02 漏洞影响版本

E-Cology 8

 

03 漏洞修复方案

1. 泛微OA为商用软件,请联系官方获取系统升级补丁
2. 不方便系统升级可部署WAF对攻击进行拦截
3. 人工检查注入接口,增加过滤语句

 

04 参考链接

泛微ecology8无条件sql注入

https://articles.zsxq.com/id_wi76x3rtxf14.html

END

 

 

原文始发于微信公众号(锋刃科技):泛微OA E-Cology8前台某接口存在SQL注入漏洞(复现)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月6日07:59:23
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   泛微OA E-Cology8前台某接口存在SQL注入漏洞(复现)https://cn-sec.com/archives/2003805.html

发表评论

匿名网友 填写信息