首頁 > 安全研究 > 安全通報 > 安全通告

泛微e-cology OA系統SQL注入漏洞安全通告

發布時間 2019-10-10

漏洞編號和級別


CVE編號:暫無,危險級別:高危,CVSS分值:廠商自評:7.8,官方未評定


影響版本


泛微e-cology OA系統 JSP版本


漏洞概述


泛微e-cology OA是國內應用廣泛的OA解決方案。


泛微e-cology OA系統的WorkflowCenterTreeData接口在使用Oracle數據庫時,由于內置SQL語句拼接不嚴,導致泛微e-cology OA系統存在SQL注入漏洞。攻擊者利用該漏洞,可在未授權的情況下,遠程發送精心構造的SQL語句,從而獲取數據庫敏感信息。


對泛微e-cology OA系統JSP版本在我國境內的分布情況進行統計,結果顯示使用該版本數量約為7430個。


漏洞驗證


暫無POC/EXP。


修復建議


目前,泛微OA官方暫未發布補丁,臨時解決方案如下:


1、使用參數檢查的方式,攔截帶有SQL語法的參數傳入應用程序;

2、使用預編譯的處理方式處理拼接了用戶參數的SQL語句;

3、在參數即將進入數據庫執行之前,對SQL語句的語義進行完整性檢查,確認語義沒有發生變化;

4、在出現SQL注入漏洞時,要在出現問題的參數拼接進SQL語句前進行過濾或者校驗,不要依賴程序最開始處防護代碼;

5、定期審計數據庫執行日志,查看是否存在應用程序正常邏輯之外的SQL 語句執行


參考鏈接


https://mp.weixin.qq.com/s/iB22Npjcyv8vFgKx8sLR8Q


上一篇 下一篇