【漏洞预警】泛微e-cology OA系统前台SQL注入漏洞

泛微e-cology OA系统前台SQL注入漏洞。攻击者通过构造特定的HTTP请求，成功利用漏洞可在目标服务器上执行SQL语句，风险极大。

漏洞描述

泛微e-cology OA系统的WorkflowCenterTreeData接口在使用Oracle数据库时,由于内置SQL语句拼接不严,导致泛微e-cology OA系统存在SQL注入漏洞。攻击者利用该漏洞，可在未授权的情况下，远程发送精心构造的SQL语句，从而获取数据库敏感信息。飓风安全团队已捕获该0day漏洞利用方式，漏洞真实存在且风险极大，飓风安全团队提醒泛微e-cology OA用户尽快采取安全措施阻止漏洞攻击。

影响版本

泛微e-cology OA系统 JSP版

安全建议

泛微e-cology OA系统为商业软件，请关注泛微官方以便及时取得安全升级方案。

本文始发于微信公众号（飓风网络安全）：【漏洞预警】泛微e-cology OA系统前台SQL注入漏洞