关于泛微e-cology V9 browser.jsp SQL注入漏洞,以下是对该问题的详细解答: 1. 确认漏洞存在 是的,泛微e-cology V9中的browser.jsp确实存在SQL注入漏洞。该漏洞允许未经授权的远程攻击者通过构造恶意数据包,执行SQL注入攻击,从而获取数据库敏感信息或控制目标系统。 2. 漏洞的具体细节和触发条件 漏洞位置:泛微e-colo...
泛微协同管理应用平台(e-cology)作为一套集企业信息门户、知识管理、数据中心等多功能于一体的协同商务平台,近日被发现存在SQL注入漏洞。这一漏洞可能被恶意利用,对平台数据安全构成严重威胁。0x03 漏洞详情 漏洞类型:SQL注入影响:敏感信息泄露简述:泛微E-cology的/services/WorkflowServiceXml接口存在SQL注入漏洞。攻...
泛微e-cology9存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。 影响版本 泛微e-cology V9<10.56 漏洞复现 fofa语法:app="泛微-协同商务系统" 登录页面: POC: POST /mobile/%20/plugin/browser.jsp HTTP/1.1Host: User-Agent: Mozilla/5.0(Windows NT10.0; Win64; x64; rv:109.0) Gecko/20100101Fire...
近日,沈阳网络安全协会信息通报机制合作单位新华三集团(H3C)提醒,新华三攻防实验室威胁预警团队监测到泛微e-cology9 SQL注入漏洞相关信息,攻击者利用该漏洞可获取数据库敏感信息。该漏洞目前影响范围广,利用难度低,综合评分9.8,威胁程度为高危。现提醒用户及时更新相关补丁。...
近日,市委网信办技术支撑单位监测发现到泛微e-cology9 SQL注入漏洞(QVD-2023-5012), 鉴于该产品用量较多,建议尽快做好自查及防护。 1.1 漏洞描述 泛微协同管理应用平台 e-cology 是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心...
近日,奇安信CERT监测到厂商发布安全补丁更新,修复泛微E-Cology SQL注入漏洞(QVD-2023-15672)在内的多个漏洞。远程未授权攻击者可利用此漏洞获取敏感信息,进一步利用可能获取目标系统权限等。鉴于此漏洞影响范围较大,建议天守客户尽快做好自查及防护。
泛微e-cology是一款由泛微网络科技开发的协同管理平台,支持人力资源、财务、行政等多功能管理和移动办公。 近期,长亭科技监测到泛微官方发布了新补丁修复了一处SQL注入漏洞。 长亭应急团队经过分析后发现该漏洞类型为SQL注入,仍有较多公网系统仍未修复漏洞。长亭应急响应实验室根据漏洞原理编写了X-POC远程检测工具和牧云本...
泛微E-COLOGY SQL注入漏洞通告 绿盟科技NSFOCUS 一、漏洞概述 近日,绿盟科技CERT监测发现国内安全厂商公开披露了一个泛微Ecology OA SQL注入漏洞。由于Ecology OA对用户输入内容的验证存在缺陷。未经身份验证的远程攻击者通过向目标系统发送特制的字符串,最终可实现获取目标数据库中的敏感信息。请受影响的用户尽快采取措施进...
泛微协同管理应用平台(e-cology)是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台,并可形成一系列的通用解决方案和行业解决方案。 漏洞描述
泛微e-cology OA系统的WorkflowCenterTreeData接口在接收到用户输入时会在未经过安全过滤的情况下直接拼接到SQL语句中,造成SQL注入。 (上图来源于网络) 漏洞影响 所有使用了Oracle数据库的泛微服务都有可能存在漏洞。 漏洞POC 目前FOFA客户端平台已经更新该远程命令执行漏洞的检测POC。