【安全漏洞公告】泛微e-cology9 SQL注入漏洞(CNVD-2023-12632)
一、漏洞簡介
|
CVE ID
|
|
公開日期
|
2023-02-13
|
|
危害級別
|
高危
|
攻擊復雜程度
|
低
|
|
POC/EXP
|
已公開
|
攻擊途徑
|
遠程網絡
|
�������
泛微 E-Cology9 協同辦公系統是一套基于 JSP 及 SQL Server 數據庫的 OA 系統,包括知識文檔管理、人力資源管理、客戶關系管理、項目管理、財務管理、工作流程管理、數據中心等打造協同高效的企業管理環境,突破企業人、財、物、信息、流程等各種資源之間的屏障,并將集團各企業、企業各部門、各分支機構、以及企業與外部的供應商、分銷商、客戶及其他合作伙伴等整合在一個統一的平臺上,使企業變成一個電子化的內外部協同工作的組織。
������
由于泛微e-cology9中對用戶前臺輸入的數據未做校驗,可以通過構造惡意的數據包導致SQL注入漏洞,進一步獲取敏感數據
二、影響范圍
泛微e-cology V9 < 10.56
三、解決措施
��������
目前官方已在最新版本中修復了該漏洞,請受影響的用戶盡快升級版本至10.56及以上版本進行防護,最新版本下載鏈接如下:
//www.weaver.com.cn/cs/securityDownload.asp#
四、參考鏈接
//www.seebug.org/vuldb/ssvid-99655
