泛微EcologyOASQL注入漏洞
2023-05-05 10:55阅读:
泛微协同管理应用平台(e-cology)是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。
Ecology 官方在 4 月 18 日发布了补丁更新,修复了一处由墨云科技安全研究员报送的 SQL
注入漏洞。
漏洞描述
泛微 Ecology OA 系统由于对用户传入的数据过滤处理不当,导致存在 SQL
注入漏洞,远程且未经过身份认证的攻击者可利用此漏洞进行 SQL 注入攻击,从而可窃取数据库敏感信息。
长亭科技安全研究员经过分析后确认此漏洞同时影响 Ecology 9 和 8
两个版本系列,使用泛微 Ecology 的用户需尽快进行补丁更新升级。
检测工具
远程检测工具:
复制链接https://stack.chaitin.com/tool/detail?id=1
前往xray - CT Stack 安全社区下载最新版本xray。
执行:./xray ws --poc
poc-yaml-weaver-ecology-oa-plugin-checkserver-setting-sqli --url
http://example.com 即可扫描。
本地检测工具:
复制链接https://stack.chaitin.com/tool/detail?id=758
前往 CT Stack 安全社区下载牧云
本地检测工具。
影响范围
泛微 ecology 9.x 补丁版本号 <= v10.56
泛微 ecology 8.x 补丁版本号 <= v10.56
解决方案
目前官方已发布安全补丁进行漏洞修复,用户可通过更新升级安全补丁至 v10.57
版本进行漏洞修复:
https://www.weaver.com.cn/cs/securityDownload.html?src=cn
来源:长亭技术沙盒
泛微 Ecology OA SQL
注入漏洞
泛微协同管理应用平台(e-cology)是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。
Ecology 官方在 4 月 18 日发布了补丁更新,修复了一处由墨云科技安全研究员报送的 SQL
注入漏洞。
漏洞描述
泛微 Ecology OA 系统由于对用户传入的数据过滤处理不当,导致存在 SQL
注入漏洞,远程且未经过身份认证的攻击者可利用此漏洞进行 SQL 注入攻击,从而可窃取数据库敏感信息。
长亭科技安全研究员经过分析后确认此漏洞同时影响 Ecology 9 和 8 两个版本系列,使用泛微 Ecology
的用户需尽快进行补丁更新升级。
检测工具
远程检测工具:
复制链接https://stack.chaitin.com/tool/detail?id=1
前往xray - CT Stack
安全社区下载最新版本xray。
执行:./xray ws --poc
poc-yaml-weaver-ecology-oa-plugin-checkserver-setting-sqli
--url http://example.com 即可扫描。
本地检测工具:
复制链接https://stack.chaitin.com/tool/detail?id=758
前往 CT Stack 安全社区下载牧云本地检测工具。
影响范围
<=
v10.56']]],['p',{'list':{'isChecked':false,'isOrdered':false,'isTaskList':false,'level':0,'listId':'1','listStyle':{'align':'left','format':'bullet','text':''}},'numPr':{'id':'1','level':0},'shd':{'color':'auto','fill':'#FFFFFF','val':'clear'},'spacing':{'after':'12pt','afterAutospacing':false,'before':'0pt','beforeAutospacing':false},'styleId':'15'},['span',{'data-type':'text'},['span',{'fonts':{'hint':'eastAsia'},'data-type':'leaf'},'泛微'],['span',{'data-type':'leaf'},'
ecology 8.x
'],['span',{'fonts':{'hint':'eastAsia'},'data-type':'leaf'},'补丁版本号
'],['span',{'data-type':'leaf'},'<= v10.56']]]]' style='outline:
0px; max-width: 100%; color: rgba(0, 0, 0, 0.9); font-family:
system-ui, -apple-system, BlinkMacSystemFont, 'Helvetica Neue',
'PingFang SC', 'Hiragino Sans GB', 'Microsoft YaHei UI', 'Microsoft
YaHei', Arial, sans-serif; letter-spacing: 0.544px; text-align:
justify; white-space: normal; box-sizing: border-box !important;
overflow-wrap: break-word !important;'>
- 泛微 ecology 9.x 补丁版本号 <=
v10.56
- 泛微 ecology 8.x 补丁版本号 <=
v10.56
解决方案
目前官方已发布安全补丁进行漏洞修复,用户可通过更新升级安全补丁至 v10.57 版本进行漏洞修复:
https://www.weaver.com.cn/cs/securityDownload.html?src=cn
产品支持
雷池:默认支持该漏洞检测
全悉:默认支持该漏洞利用行为的检测
云图:默认支持该产品的指纹识别,同时支持该漏洞的PoC原理检测
洞鉴:自定义POC原理扫描检测
牧云: 发布本地检测小工具
泛微 Ecology OA SQL
注入漏洞
泛微协同管理应用平台(e-cology)是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。
Ecology 官方在 4 月 18 日发布了补丁更新,修复了一处由墨云科技安全研究员报送的 SQL
注入漏洞。
漏洞描述
泛微 Ecology OA 系统由于对用户传入的数据过滤处理不当,导致存在 SQL
注入漏洞,远程且未经过身份认证的攻击者可利用此漏洞进行 SQL 注入攻击,从而可窃取数据库敏感信息。
长亭科技安全研究员经过分析后确认此漏洞同时影响 Ecology 9 和 8 两个版本系列,使用泛微 Ecology
的用户需尽快进行补丁更新升级。
检测工具
远程检测工具:
复制链接https://stack.chaitin.com/tool/detail?id=1
前往xray - CT Stack
安全社区下载最新版本xray。
执行:./xray ws --poc
poc-yaml-weaver-ecology-oa-plugin-checkserver-setting-sqli
--url http://example.com 即可扫描。
本地检测工具:
复制链接https://stack.chaitin.com/tool/detail?id=758
前往 CT Stack 安全社区下载牧云本地检测工具。
影响范围
<=
v10.56']]],['p',{'list':{'isChecked':false,'isOrdered':false,'isTaskList':false,'level':0,'listId':'1','listStyle':{'align':'left','format':'bullet','text':''}},'numPr':{'id':'1','level':0},'shd':{'color':'auto','fill':'#FFFFFF','val':'clear'},'spacing':{'after':'12pt','afterAutospacing':false,'before':'0pt','beforeAutospacing':false},'styleId':'15'},['span',{'data-type':'text'},['span',{'fonts':{'hint':'eastAsia'},'data-type':'leaf'},'泛微'],['span',{'data-type':'leaf'},'
ecology 8.x
'],['span',{'fonts':{'hint':'eastAsia'},'data-type':'leaf'},'补丁版本号
'],['span',{'data-type':'leaf'},'<= v10.56']]]]' style='outline:
0px; max-width: 100%; color: rgba(0, 0, 0, 0.9); font-family:
system-ui, -apple-system, BlinkMacSystemFont, 'Helvetica Neue',
'PingFang SC', 'Hiragino Sans GB', 'Microsoft YaHei UI', 'Microsoft
YaHei', Arial, sans-serif; letter-spacing: 0.544px; text-align:
justify; white-space: normal; box-sizing: border-box !important;
overflow-wrap: break-word !important;'>
- 泛微 ecology 9.x 补丁版本号 <=
v10.56
- 泛微 ecology 8.x 补丁版本号 <=
v10.56
解决方案
目前官方已发布安全补丁进行漏洞修复,用户可通过更新升级安全补丁至 v10.57 版本进行漏洞修复:
https://www.weaver.com.cn/cs/securityDownload.html?src=cn
产品支持
雷池:默认支持该漏洞检测
全悉:默认支持该漏洞利用行为的检测
云图:默认支持该产品的指纹识别,同时支持该漏洞的PoC原理检测
洞鉴:自定义POC原理扫描检测
牧云: 发布本地检测小工具
泛微 Ecology OA SQL
注入漏洞
泛微协同管理应用平台(e-cology)是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。
Ecology 官方在 4 月 18 日发布了补丁更新,修复了一处由墨云科技安全研究员报送的 SQL
注入漏洞。
漏洞描述
泛微 Ecology OA 系统由于对用户传入的数据过滤处理不当,导致存在 SQL
注入漏洞,远程且未经过身份认证的攻击者可利用此漏洞进行 SQL 注入攻击,从而可窃取数据库敏感信息。
长亭科技安全研究员经过分析后确认此漏洞同时影响 Ecology 9 和 8 两个版本系列,使用泛微 Ecology
的用户需尽快进行补丁更新升级。
检测工具
远程检测工具:
复制链接https://stack.chaitin.com/tool/detail?id=1
前往xray - CT Stack
安全社区下载最新版本xray。
执行:./xray ws --poc
poc-yaml-weaver-ecology-oa-plugin-checkserver-setting-sqli
--url http://example.com 即可扫描。
本地检测工具:
复制链接https://stack.chaitin.com/tool/detail?id=758
前往 CT Stack 安全社区下载牧云本地检测工具。
影响范围
<=
v10.56']]],['p',{'list':{'isChecked':false,'isOrdered':false,'isTaskList':false,'level':0,'listId':'1','listStyle':{'align':'left','format':'bullet','text':''}},'numPr':{'id':'1','level':0},'shd':{'color':'auto','fill':'#FFFFFF','val':'clear'},'spacing':{'after':'12pt','afterAutospacing':false,'before':'0pt','beforeAutospacing':false},'styleId':'15'},['span',{'data-type':'text'},['span',{'fonts':{'hint':'eastAsia'},'data-type':'leaf'},'泛微'],['span',{'data-type':'leaf'},'
ecology 8.x
'],['span',{'fonts':{'hint':'eastAsia'},'data-type':'leaf'},'补丁版本号
'],['span',{'data-type':'leaf'},'<= v10.56']]]]' style='outline:
0px; max-width: 100%; color: rgba(0, 0, 0, 0.9); font-family:
system-ui, -apple-system, BlinkMacSystemFont, 'Helvetica Neue',
'PingFang SC', 'Hiragino Sans GB', 'Microsoft YaHei UI', 'Microsoft
YaHei', Arial, sans-serif; letter-spacing: 0.544px; text-align:
justify; white-space: normal; box-sizing: border-box !important;
overflow-wrap: break-word !important;'>
- 泛微 ecology 9.x 补丁版本号 <=
v10.56
- 泛微 ecology 8.x 补丁版本号 <=
v10.56
解决方案
目前官方已发布安全补丁进行漏洞修复,用户可通过更新升级安全补丁至 v10.57 版本进行漏洞修复:
https://www.weaver.com.cn/cs/securityDownload.html?src=cn
产品支持
雷池:默认支持该漏洞检测
全悉:默认支持该漏洞利用行为的检测
云图:默认支持该产品的指纹识别,同时支持该漏洞的PoC原理检测
洞鉴:自定义POC原理扫描检测
牧云: 发布本地检测小工具
