|
| 泛微 E-cology9 未授權(quán)SQL注入漏洞 |
| |
| | | |
| | | |
| | 技術(shù)細(xì)節(jié)狀態(tài) | |
| | | |
泛微協(xié)同管理應(yīng)用平臺(E-cology)是一套兼具企業(yè)信息門戶��、知識文檔管理����、工作流程管理、人力資源管理����、客戶關(guān)系管理、項目管理���、財務(wù)管理��、資產(chǎn)管理����、供應(yīng)鏈管理、數(shù)據(jù)中心功能的企業(yè)大型協(xié)同管理平臺��,形成了一系列的通用解決方案和行業(yè)解決方案��。該平臺廣泛應(yīng)用于各類企業(yè)和組織的日常辦公和業(yè)務(wù)管理中�����。
近日����,泛微官方披露了一個嚴(yán)重的泛微 E-cology9 未授權(quán) SQL 注入漏洞。未經(jīng)身份認(rèn)證的遠(yuǎn)程攻擊者可以通過構(gòu)造特殊的 HTTP 請求���,在目標(biāo)系統(tǒng)上執(zhí)行任意 SQL 查詢語句�,成功的利用該漏洞可獲取系統(tǒng)敏感信息����,當(dāng)數(shù)據(jù)庫為 SQL Server 時可能進(jìn)一步利用獲取目標(biāo)系統(tǒng)的代碼執(zhí)行權(quán)限。
360漏洞研究院已復(fù)現(xiàn)泛微 E-cology9 SQL注入漏洞�,通過延時注入的方式(延時 4 秒)進(jìn)行了驗(yàn)證。
發(fā)起 SQL 注入請求
觸發(fā)泛微 E-cology9 未授權(quán)SQL注入
影響以下版本的泛微產(chǎn)品:
E-cology9 < 10.76
官方已發(fā)布新版本中修復(fù)上述漏洞�����,受影響用戶請盡快升級到安全版本。
漏洞修復(fù)版本:
泛微 E-cology9 >= 10.76
盡量不要將該服務(wù)器暴露在公網(wǎng)��,或通過防火墻規(guī)則限制能夠訪問該服務(wù)器的IP地址為可信IP����。
360測繪云 Quake:默認(rèn)支持該產(chǎn)品的指紋識別�����。
360高級持續(xù)性威脅預(yù)警系統(tǒng):已具備該漏洞的檢測能力�。告警ID為:60129498,建議用戶盡快升級檢測規(guī)則庫��。
360資產(chǎn)與漏洞檢測管理系統(tǒng):預(yù)計 2025年7月11日 發(fā)布規(guī)則更新包��,支持該漏洞利用行為的檢測��。
本地安全大腦:默認(rèn)支持該漏洞的PoC檢測�。
2025年7月10日,360漏洞研究院發(fā)布本安全風(fēng)險通告����。
https://www.weaver.com.cn/cs/securityDownload.html
建議您訂閱360數(shù)字安全-漏洞情報服務(wù)���,獲取更多漏洞情報詳情以及處置建議,讓您的企業(yè)遠(yuǎn)離漏洞威脅���。
郵箱:360VRI@#
網(wǎng)址:https://vi.loudongyun.360.net
閱讀原文:原文鏈接
該文章在 2025/7/14 18:50:00 編輯過
400 186 1886
