近日,新华三攻防实验室威胁预警团队监测到泛微e-cology9 SQL注入漏洞相关信息,攻击者利用该漏洞可获取数据库敏感信息。 1.2漏洞详情 泛微e-cology9中存在SQL注入漏洞,未经身份验证的恶意攻击者成功利用此漏洞可获取数据库敏感信息,进一步利用可获取目标系统的控制权限。 2.影响范围 泛微e-cology9 <= 10.55 3.严重等级...
近日,奇安信CERT监测到厂商发布安全补丁更新,修复泛微E-Cology SQL注入漏洞(QVD-2023-15672)在内的多个漏洞。远程未授权攻击者可利用此漏洞获取敏感信息,进一步利用可能获取目标系统权限等。鉴于此漏洞影响范围较大,建议天守客户尽快做好自查及防护。 泛微协同管理应用平台e-cology是一套兼具企业信息门户、知识文档...
泛微e-cology未对用户的输入进行有效的过滤,直接将其拼接进了SQL查询语句中,导致系统出现SQL注入漏洞。远程未授权攻击者可利用此漏洞获取敏感信息,进一步利用可能获取目标系统权限等。 影响版本 Ecology 9.x 补丁版本 < 10.58.0;Ecology 8.x 补丁版本 < 10.58.0 漏洞复现 fofa查询语法:app="泛微-协同办公OA" 鹰...
一、漏洞概述 泛微e-cology是泛微公司开发的协同管理应用平台,旨在为中大型组织提供高效的协同办公环境。然而,在泛微e-cology的某些版本中,存在workflowservicexml接口的SQL注入漏洞,该漏洞允许未经身份认证的攻击者通过发送恶意的SOAP请求,执行任意的SQL语句,从而可能导致数据泄露等严重后果。 二、具体版本和受影响范围 漏...
一、漏洞概述 近日,绿盟科技CERT监测发现国内安全厂商公开披露了一个泛微Ecology OA SQL注入漏洞。由于Ecology OA对用户输入内容的验证存在缺陷。未经身份验证的远程攻击者通过向目标系统发送特制的字符串,最终可实现获取目标数据库中的敏感信息。请受影响的用户尽快采取措施进防护。
2024年7月16日,网上更新披露了一个泛微e-cology9 WorkflowServiceXml SQL注入漏洞(QVD-2024-26136),泛微协同管理应用平台(e-cology)是一套兼具企业信息门户、知识管理、数据中心、工作流管理、人力资源管理、客户与合作伙伴管理、项目管理、财务管理、资产管理功能的协同商务平台,请各位用户尽快安装漏洞补丁。
漏洞简介 2019年10月10日CNVD发布了泛微e-cology OA系统存在SQL注入漏洞。该漏洞是由于OA系统的WorkflowCenterTreeData接口中涉及Oracle数据库的SQL语句缺乏安全检查措施所导致的,任意攻击者都可借SQL语句拼接时机注入恶意payload,造成SQL注入攻击。 影响版本
泛微e-cology是一款由泛微网络科技开发的协同管理平台,支持人力资源、财务、行政等多功能管理和移动办公。 近期,长亭科技监测到泛微官方发布了新补丁修复了一处SQL注入漏洞。 长亭应急团队经过分析后发现该漏洞类型为SQL注入,仍有较多公网系统仍未修复漏洞。长亭应急响应实验室根据漏洞原理编写了X-POC远程检测工具和牧云本...
近日,沈阳网络安全协会信息通报机制合作单位新华三集团(H3C)提醒,新华三攻防实验室威胁预警团队监测到泛微e-cology9 SQL注入漏洞相关信息,攻击者利用该漏洞可获取数据库敏感信息。该漏洞目前影响范围广,利用难度低,综合评分9.8,威胁程度为高危。现提醒用户及时更新相关补丁。
0x00 漏洞概述 0x01 漏洞详情 泛微协同管理应用平台(e-cology)是一套兼具企业信息门户、知识管理、数据中心、工作流管理、人力资源管理、客户与合作伙伴管理、项目管理、财务管理、资产管理功能的协同商务平台。 近日,泛微e-cology9协同办公系统版本<=10.55被披露存在SQL注入漏洞,可以通过构造恶意数据包进行SQL注入,导致...