近日,奇安信CERT监测到厂商发布安全补丁更新,修复泛微E-Cology SQL注入漏洞(QVD-2023-15672)在内的多个漏洞。远程未授权攻击者可利用此漏洞获取敏感信息,进一步利用可能获取目标系统权限等。鉴于此漏洞影响范围较大,建议天守客户尽快做好自查及防护。 泛微协同管理应用平台e-cology是一套兼具企业信息门户、知识文档...
该漏洞是由于OA系统的WorkflowCenterTreeData接口在收到用户输入的时候未进行安全过滤,oracle数据库传入恶意SQL语句,导致SQL漏洞。 0x02 影响范围 使用oracle数据库的泛微 e-cology OA 系统 0x03 环境搭建 在线环境(限今晚): 打赏(任意金额)+转发,联系作者获取 FOFA搜索: app="泛微-协同办公OA" 自行搭建: 公众号...
泛微e-cology9 WorkflowServiceXml SQL注入漏洞分析 一、漏洞确认 泛微e-cology9的WorkflowServiceXml组件确实存在SQL注入漏洞。该漏洞允许未经身份认证的攻击者通过发送恶意的SOAP请求,构造并执行任意的SQL语句,进而可能导致数据泄露、数据篡改或远程命令执行等严重后果。 二、漏洞原因及位置 漏洞产生的原因在于泛微e-cology...
复制 id:泛微e-cology9 WorkflowServiceXmlSQL注入漏洞info:name:泛微e-cology9 WorkflowServiceXmlSQL注入漏洞author:whgojpseverity:infodescription:在默认配置下,未授权攻击者可利用该漏洞执行任意SQL语句,从而造成任意命令执行http:-raw:-|POST/services/WorkflowServiceXmlHTTP/1.1Host:{{Hostname}}Content-Type:text...
泛微E-Cology9 是泛微网络科技股份有限公司开发的一款高效、灵活、全面的企业信息化办公系统。 泛微E-Cology9 中的 /services/WorkPlanService 接口存在SQL注入漏洞,攻击者可构造SOAP 请求进行SQL注入,窃取或修改数据库敏感信息,进一步利用可能获取目标系统权限。
泛微E-Cology CheckServer.jspSQL注入漏洞(QVD-2023-9849) 复现 1.漏洞描述 泛微 Ecology OA 系统对用户传入的数据过滤处理不当,导致存在 SQL 注入漏洞,未经...
泛微e-cology是一款由泛微网络科技开发的协同管理平台,支持人力资源、财务、行政等多功能管理和移动办公。 近期,长亭科技监测到泛微官方发布了新补丁修复了一处SQL注入漏洞。 长亭应急团队经过分析后发现该漏洞类型为SQL注入,仍有较多公网系统仍未修复漏洞。长亭应急响应实验室根据漏洞原理编写了X-POC远程检测工具和牧云本...
漏洞复现 泛型微生态OA系统的WorkflowCenterTreeData接口在使用Oracle数据库时,由于内置sql语句分解不严密,导致其存在的sql注入漏洞 POC: POST /mobile/browser/WorkflowCenterTreeData.jsp?node=wftype_1&scope=2333 HTTP/1.1 Host: ip:port Cache-Control: max-age=0 ...
泛微Ecology OA 系统对用户传入的数据过滤处理不当,导致存在 SQL 注入漏洞,未经过身份认证的远程攻击者可利用此漏洞执行任意SQL指令,从而窃取数据库敏感信息。 影响版本 泛微Ecology 9.x <= v10.56;泛微 Ecology 8.x <= v10.56 漏洞复现 fofa查询语法:app="泛微-协同办公OA" ...
泛微e-cology OA系统漏洞复现(一、环境搭建) 本文最后更新于 439 天前,其中的信息可能已经有所发展或是发生改变。 前言 本次泛微OA系统复现采用的系统版本、数据库版本等详细版本如下列表所示: 服务器系统版本:Windows Server2008 Standard 数据库版本:cn_sql_server_2008_r2_enterprise...