泛微e-cology OA SQL注入漏洞预警

2019-10-11 09:13:44
2019年10月10日CNVD发布了泛微e-cology OA系统存在SQL注入漏洞,漏洞等级严重。

文档信息

文档名称

泛微e-cology OA SQL注入漏洞预警

关键字

泛微,e-cology OA ,SQL注入漏洞

发布日期

20191010

分析团队

腾讯安全御见威胁情报中心

漏洞描述

20191010CNVD发布了泛微e-cology OA系统存在SQL注入漏洞,漏洞等级严重。

泛微e-cology OA系统的WorkflowCenterTreeData接口在使用Oracle数据库时,由于内置SQL语句拼接不严,导致泛微e-cology OA系统存在SQL注入漏洞。攻击者利用该漏洞,可在未授权的情况下,远程发送精心构造的SQL语句,从而获取数据库敏感信息。

泛微OA官方暂未发布补丁,建议用户密切关注泛微OA官方最新的修复建议。

漏洞等级高危

攻击者利用漏洞可实现代码注入攻击,攻击成功可能导致数据库信息泄露、服务器被入侵。

影响范围

泛微e-cology OA系统 JSP,目前,泛微OA官方暂未发布补丁,已经存在该0day的利用方式。

临时解决方案

1、使用参数检查的方式,拦截带有SQL语法的参数传入应用程序;

2、使用预编译的处理方式处理拼接了用户参数的SQL语句;

3、在参数即将进入数据库执行之前,对SQL语句的语义进行完整性检查,确认语义没有发生变化;

4、在出现SQL注入漏洞时,要在出现问题的参数拼接进SQL语句前进行过滤或者校验,不要依赖程序最开始处防护代码;

5、定期审计数据库执行日志,查看是否存在应用程序正常逻辑之外的SQL 语句执行;

建议使用泛微e-cology OA系统构建网站的信息系统运营者进行自查,发现存在漏洞后,按照临时解决方案及时进行修复。

来源:CNVD官方公告

时间线:

1.20191010日漏洞信息提交到CNVD(国家漏洞信息库);

2.20191010日,腾讯安全御见威胁情报中心发布预警。

参考链接:

https://mp.weixin.qq.com/s/iB22Npjcyv8vFgKx8sLR8Q

最新资讯