泛微OA e-cology是一套企业协同管理平台,包含多种功能模块。/mobile/plugin/checkserver.jsp是该系统中用于处理某些特定请求的文件。由于对用户输入的数据过滤处理不当,该文件存在SQL注入漏洞,攻击者可以利用此漏洞执行任意SQL指令,从而窃取数据库中的敏感信息。 2. SQL注入原理 SQL注入是一种攻击技术,攻击者通过在输...
泛微e-cology OA 前台SQL注入漏洞 0x00概述 该漏洞是由于OA系统的WorkflowCenterTreeData接口在收到用户输入的时候未进行安全过滤,oracle数据库传入恶意SQL语句,导致SQL漏洞。 0x01影响范围 使用oracle数据库的泛微 e-cology OA 系统 poc POST /mobile/browser/WorkflowCenterTreeData.jsp?node=wftype_1&scope=2333 H...
近日,新华三攻防实验室威胁预警团队监测到泛微E-Cology SQL注入漏洞相关信息,攻击者利用该漏洞可获取数据库敏感信息。 1.2漏洞详情 由于泛微Ecology系统未对用户输入的数据进行过滤,未经过身份验证的恶意攻击者通过构造包含恶意的SQL语句,成功利用此漏洞可获取数据库敏感信息。 2.影响范围 泛微ecology 8.x 补丁版本号 <...
一、概要 近日,华为云安全团队关注到国内知名的协同管理软件泛微e-cology OA的V8、V9版本存在SQL注入漏洞。攻击者可以发送精心构造的SQL语句,获取数据库敏感信息。 二、威胁级别 威胁级别:【严重】 (说明:威胁级别共四级:一般、重要、严重、紧急) 三、影响范围 受影响版本: 泛微e-cology V8 及 V9版本 四、处置方...
近日,华为云安全团队关注到国内知名的协同管理软件泛微e-cology OA系统被爆存在两处高危漏洞(远程代码执行漏洞、SQL注入漏洞)。攻击者利用漏洞可实现远程任意代码执行;构造SQL语句并执行,获取数据库敏感信息。目前互联网上已有该两处漏洞的利用方式,风险高。
泛微e-cology OA系统的WorkflowCenterTreeData接口在接收到用户输入时会在未经过安全过滤的情况下直接拼接到SQL语句中,造成SQL注入。 (上图来源于网络) 漏洞影响 所有使用了Oracle数据库的泛微服务都有可能存在漏洞。 漏洞POC 目前FOFA客户端平台已经更新该远程命令执行漏洞的检测POC。
近日,SINE安全监测中心监控到泛微OA系统被爆出存在高危的sql注入漏洞,该移动办公OA系统,在正常使用过程中可以伪造匿名身份来进行SQL注入攻击,获取用户等隐私信息,目前该网站漏洞影响较大,使用此E-cology的用户,以及数据库oracle都会受到该漏洞的攻击,经过安全技术的POC安全测试,发现漏洞的利用非常简单,危害较大,可以获取管...
泛微e-cology是一款由泛微网络科技开发的协同管理平台,支持人力资源、财务、行政等多功能管理和移动办公。 近期,长亭科技监测到泛微官方发布了新补丁修复了一处SQL注入漏洞。 长亭应急团队经过分析后发现该漏洞类型为SQL注入,仍有较多公网系统仍未修复漏洞。长亭应急响应实验室根据漏洞原理编写了X-POC远程检测工具和牧云本...
漏洞描述 泛微e-cology是专为大中型企业制作的OA办公系统,支持PC端、移动端和微信端同时办公等。 泛微e-cology存在SQL注入漏洞。攻击者可利用该漏洞获取敏感信息。 漏洞影响 泛微e-cology 8.0 FOFA app='泛微-协...
漏洞描述 2019年10月10日CNVD发布了泛微e-cology OA系统存在SQL注入漏洞。该漏洞是由于OA系统的WorkflowCenterTreeData接口中涉及Oracle数据库的SQL语句缺乏安全检查措施所导致的,任意攻击者都可借SQL语句拼接时...