泛微e-cology OA系统前台SQL注入漏洞。攻击者通过构造特定的HTTP请求,成功利用漏洞可在目标服务器上执行SQL语句,风险极大。
漏洞描述
泛微e-cology OA系统的WorkflowCenterTreeData接口在使用Oracle数据库时,由于内置SQL语句拼接不严,导致泛微e-cology OA系统存在SQL注入漏洞。攻击者利用该漏洞,可在未授权的情况下,远程发送精心构造的SQL语句,从而获取数据库敏感信息。飓风安全团队已捕获该0day漏洞利用方式,漏洞真实存在且风险极大,飓风安全团队提醒泛微e-cology OA用户尽快采取安全措施阻止漏洞攻击。
影响版本
泛微e-cology OA系统 JSP版
安全建议
泛微e-cology OA系统为商业软件,请关注泛微官方以便及时取得安全升级方案。
本文始发于微信公众号(飓风网络安全):【漏洞预警】泛微e-cology OA系统前台SQL注入漏洞
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论