1.安全公告
2019年10月10日,泛微e-cology OA发布了安全更新补丁,修复了一个SQL注入漏洞,相关链接:
https://www.weaver.com.cn/cs/securityDownload.asp
同时,国家信息安全漏洞共享平台(CNVD)也收录了该漏洞,编号:CNVD-2019-34241,相关链接:
https://www.cnvd.org.cn/webinfo/show/5235
根据公告,泛微e-cology OA在使用Oracle数据库时,存在SQL查询语句过滤不严的情况,从而导致SQL注入漏洞,恶意攻击者利用该漏洞可以获取数据库中敏感信息,建议使用该产品的用户尽快更新安全补丁。
2.漏洞详情
泛微e-cology OA系统的WorkflowCenterTreeData接口在使用Oracle数据库时,存在SQL查询语句过滤不严的情况,从而导致SQL注入漏洞,恶意攻击者利用该漏洞可以获取数据库中敏感信息,攻击者可以直接POST恶意查询语句到:/workflowcentertreedata.jsp,目前漏洞细节和测试代码已经公开,建议尽快更新安全补丁。
3.影响版本
泛微e-cology OA系统 JSP版本。
目前官方网站已经更新补丁,补丁地址:
https://www.weaver.com.cn/cs/securityDownload.asp
4.缓解措施
高危:目前漏洞细节和测试代码已经公开,强烈建议及时升级安全更新补丁,或是部署WAF等安全防护设备监控漏洞利用情况。
威胁推演:此漏洞为SQL注入漏洞,可以越权获取数据库数据,基于使用该产品用户的场景,恶意攻击者可能会利用该漏洞获取企业内部OA的敏感信息。
安全开发建议:泛微e-cology OA历史上报过多次安全漏洞,建议使用该产品的企业通过安全开发代码加固其用户输入过滤和随时关注安全更新公告。
(点击率:2494)
这视界
