近日,新华三攻防实验室威胁预警团队监测到泛微E-Cology SQL注入漏洞相关信息,攻击者利用该漏洞可获取数据库敏感信息。 1.2漏洞详情 由于泛微Ecology系统未对用户输入的数据进行过滤,未经过身份验证的恶意攻击者通过构造包含恶意的SQL语句,成功利用此漏洞可获取数据库敏感信息。 2.影响范围 泛微ecology 8.x 补丁版本号 <...
2019年10月10日CNVD发布了泛微e-cology OA系统存在SQL注入漏洞。该漏洞是由于OA系统的WorkflowCenterTreeData接口中涉及Oracle数据库的SQL语句缺乏安全检查措施所导致的,任意攻击者都可借SQL语句拼接时机注入恶意payload,造成SQL注入攻击。 影响版本 使用Oracle数据库的泛微服务 漏洞复现 泛型微生态OA系统的WorkflowCenterTree...
泛微E-COLOGY SQL注入漏洞通告 绿盟科技NSFOCUS 一、漏洞概述 近日,绿盟科技CERT监测发现国内安全厂商公开披露了一个泛微Ecology OA SQL注入漏洞。由于Ecology OA对用户输入内容的验证存在缺陷。未经身份验证的远程攻击者通过向目标系统发送特制的字符串,最终可实现获取目标数据库中的敏感信息。请受影响的用户尽快采取措施进...
泛微e-cology未对用户的输入进行有效的过滤,直接将其拼接进了SQL查询语句中,导致系统出现SQL注入漏洞。远程未授权攻击者可利用此漏洞获取敏感信息,进一步利用可能获取目标系统权限等。 影响版本 Ecology 9.x 补丁版本 < 10.58.0;Ecology 8.x 补丁版本 < 10.58.0 漏洞复现 fofa查询语法:app="泛微-协同办公OA" 鹰...
泛微e-cology 前台SQL注入漏洞 ■ 漏洞背景 泛微协同管理应用平台(E-Cology)是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。支持OA、CRM、ERP等多种业务应用系统,并提供了完善的权限控制、数据加密...
近日,奇安信 CERT 监测到泛微Ecology SQL注入漏洞(QVD-2023-9849),泛微 Ecology OA 系统对用户传入的数据过滤处理不当,导致存在 SQL 注入漏洞,未经过身份认证的远程攻击者可利用此漏洞执行任意SQL指令,从而窃取数据库敏感信息。奇安信CERT已成功复现此漏洞,鉴于该产品用量较多,漏洞影响较大,建议天守客户尽快做好自查及...
泛微OA存在前台SQL注入漏洞,未经授权的远程攻击者可通过发送特殊的HTTP请求来利用此漏洞,最终可导致攻击者获取数据库敏感信息。 漏洞危害 1、数据泄露:攻击者可以通过注入恶意SQL语句来获取数据库中的敏感信息,如用户密码、信用卡信息; 2、数据篡改:攻击者可以利用注入攻击修改或删除数据库中的数据,如修改用户账户信息或...
id: ecology-oa-filedownloadforoutdoc-sqli info: name: EcologyOA filedownloadforoutdoc - SQL injection author: unknown severity: critical description: EcologyOA filedownloadforoutdoc interface has SQ…
泛微E-Cology CheckServer.jspSQL注入漏洞(QVD-2023-9849) 复现 1.漏洞描述 泛微 Ecology OA 系统对用户传入的数据过滤处理不当,导致存在 SQL 注入漏洞,未经...
【漏洞预警】泛微Ecology SQL注入漏洞安全风险通告 泛微协同管理应用平台e-cology是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。 近日,监测到泛微Ecology SQL注入漏洞(QVD-2023-9849),泛微 Ecology OA ...