泛微e-cology OA SQL注入漏洞预警

 

0x00 漏洞背景

2019年10月10日,360CERT监测到2019年10月10日CNVD发布了泛微e-cology OA系统存在SQL注入漏洞,漏洞等级严重。

泛微e-cology OA系统的WorkflowCenterTreeData接口在使用Oracle数据库时,由于内置SQL语句拼接不严,导致泛微e-cology OA系统存在SQL注入漏洞。攻击者利用该漏洞,可在未授权的情况下,远程发送精心构造的SQL语句,从而获取数据库敏感信息。

360CERT判断漏洞等级为高危,危害面一般。目前,泛微OA官方暂未发布补丁,建议使用泛微e-cology OA用户使用修复建议中的临时修复方法进行自查,以免遭受黑客攻击。

 

0x01 影响版本

泛微e-cology OA系统 JSP版

目前,泛微OA官方暂未发布补丁,已经存在该0day的利用方式。

 

0x02 修复建议

  1. 使用参数检查的方式,拦截带有SQL语法的参数传入应用程序;
  2. 使用预编译的处理方式处理拼接了用户参数的SQL语句;
  3. 在参数即将进入数据库执行之前,对SQL语句的语义进行完整性检查,确认语义没有发生变化;
  4. 在出现SQL注入漏洞时,要在出现问题的参数拼接进SQL语句前进行过滤或者校验,不要依赖程序最开始处防护代码;
  5. 定期审计数据库执行日志,查看是否存在应用程序正常逻辑之外的SQL 语句执行;

建议使用泛微e-cology OA系统构建网站的信息系统运营者进行自查,发现存在漏洞后,按照临时解决方案及时进行修复。

 

0x03 时间线

2019-10-10 CNVD发布了泛微e-cology OA系统存在SQL注入漏洞的预警

2019-10-10 360CERT发布预警

 

0x04 参考链接

  1. 关于泛微e-cology OA系统存在SQL注入漏洞的安全公告
免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐