泛微e-cology9 WorkflowServiceXml SQL注入漏洞分析 一、漏洞确认 泛微e-cology9的WorkflowServiceXml组件确实存在SQL注入漏洞。该漏洞允许未经身份认证的攻击者通过发送恶意的SOAP请求,构造并执行任意的SQL语句,进而可能导致数据泄露、数据篡改或远程命令执行等严重后果。 二、漏洞原因及位置 漏洞产生的原因在于泛微e-cology...
近日,沈阳网络安全协会信息通报机制合作单位新华三集团(H3C)提醒,新华三攻防实验室威胁预警团队监测到泛微e-cology9 SQL注入漏洞相关信息,攻击者利用该漏洞可获取数据库敏感信息。该漏洞目前影响范围广,利用难度低,综合评分9.8,威胁程度为高危。现提醒用户及时更新相关补丁。...
泛微E-Cology9 是泛微网络科技股份有限公司开发的一款高效、灵活、全面的企业信息化办公系统。 泛微E-Cology9 中的 /services/WorkPlanService 接口存在SQL注入漏洞,攻击者可构造SOAP 请求进行SQL注入,窃取或修改数据库敏感信息,进一步利用可能获取目标系统权限。 影响范围 泛微补丁包<10.65.0 0x01 测绘工具 fofa: app...
该漏洞是由于OA系统的WorkflowCenterTreeData接口在收到用户输入的时候未进行安全过滤,oracle数据库传入恶意SQL语句,导致SQL漏洞。 0x02 影响范围 使用oracle数据库的泛微 e-cology OA 系统 0x03 环境搭建 在线环境(限今晚): 打赏(任意金额)+转发,联系作者获取 FOFA搜索: app="泛微-协同办公OA" 自行搭建: 公众号...
泛微e-cology OA 前台SQL注入漏洞 0x00概述 该漏洞是由于OA系统的WorkflowCenterTreeData接口在收到用户输入的时候未进行安全过滤,oracle数据库传入恶意SQL语句,导致SQL漏洞。 0x01影响范围 使用oracle数据库的泛微 e-cology OA 系统 poc POST /mobile/browser/WorkflowCenterTreeData.jsp?node=wftype_1&scope=2333 ...
泛微E-COLOGY SQL注入漏洞通告 绿盟科技NSFOCUS 一、漏洞概述 近日,绿盟科技CERT监测发现国内安全厂商公开披露了一个泛微Ecology OA SQL注入漏洞。由于Ecology OA对用户输入内容的验证存在缺陷。未经身份验证的远程攻击者通过向目标系统发送特制的字符串,最终可实现获取目标数据库中的敏感信息。请受影响的用户尽快采取措施进...
奇安信网神网站应用安全云防护系统已全局更新所有云端防护节点的防护规则,支持对泛微 e-cology 前台SQL注入漏洞的防护。 4、Snort检测方案 Snort是一个开源的入侵检测系统,使用规则来检测网络流量中的恶意行为。用户可参考以下Snort检测规则,进行检测: alert tcp any any -> any any (msg:"Weaver E-Cology SQLi"; ...
泛微e-cology 前台SQL注入漏洞 ■ 漏洞背景 泛微协同管理应用平台(E-Cology)是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。支持OA、CRM、ERP等多种业务应用系统,并提供了完善的权限控制、数据加密...
泛微协同管理应用平台(e-cology)是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台,并可形成一系列的通用解决方案和行业解决方案。 漏洞描述
泛微e-cology是一款功能强大的企业大型协同管理平台,包含知识文档管理、人力资源管理、客户关系管理、项目管理、财务管理、工作流程管理、数据中心等模块。依托全新的设计理念,全新的管理思想,为中大型企业实现“便捷、灵活、安全、高效”的办公体验。近日,新华三攻防实验室威胁预警团队监测到泛微e-cology9 SQL注入漏洞相关...