阿里云首页> 安全公告 > 【漏洞预警】泛微e-cology OA系统前台SQL注入漏洞

【漏洞预警】泛微e-cology OA系统前台SQL注入漏洞

2019年10月10日,阿里云应急响应中心监测到国家信息安全漏洞共享平台(CNVD)披露了泛微e-cology OA系统前台SQL注入漏洞。攻击者通过构造特定的HTTP请求,成功利用漏洞可在目标服务器上执行SQL语句,风险极大。


漏洞描述

泛微e-cology OA系统的WorkflowCenterTreeData接口在使用Oracle数据库时,由于内置SQL语句拼接不严,导致泛微e-cology OA系统存在SQL注入漏洞。攻击者利用该漏洞,可在未授权的情况下,远程发送精心构造的SQL语句,从而获取数据库敏感信息。阿里云应急响应中心已捕获该0day漏洞利用方式,漏洞真实存在且风险极大,阿里云应急响应中心提醒泛微e-cology OA用户尽快采取安全措施阻止漏洞攻击。


影响版本

泛微e-cology OA系统 JSP版


安全建议

泛微e-cology OA系统为商业软件,泛微官方已发布安全更新补丁,请及时下载更新。

官方补丁下载地址:https://www.weaver.com.cn/cs/securityDownload.asp

EC7.0及以下版本安全补丁: https://www.weaver.com.cn/cs/package/Ecology_security_20191010_v6.28.zip

EC8.0及以上版本安全补丁: https://www.weaver.com.cn/cs/package/Ecology_security_20191010_v10.18.zip


云盾WAF已可防御此漏洞攻击

云盾漏洞扫描已支持对该漏洞检测

云盾云安全中心应急漏洞模块已支持对该漏洞一键检测


相关链接

https://www.cnvd.org.cn/webinfo/show/5235



我们会关注后续进展,请随时关注官方公告。

如有任何问题,可随时通过工单或服务电话95187联系反馈。


阿里云应急响应中心

2019.10.10