|
| 泛微 E-cology9 未授權(quán)SQL注入漏洞 |
| |
| | | |
| | | |
| | 技術(shù)細(xì)節(jié)狀態(tài) | |
| | | |
泛微協(xié)同管理應(yīng)用平臺(tái)(E-cology)是一套兼具企業(yè)信息門戶�����、知識(shí)文檔管理�、工作流程管理、人力資源管理���、客戶關(guān)系管理��、項(xiàng)目管理、財(cái)務(wù)管理、資產(chǎn)管理��、供應(yīng)鏈管理、數(shù)據(jù)中心功能的企業(yè)大型協(xié)同管理平臺(tái)��,形成了一系列的通用解決方案和行業(yè)解決方案��。該平臺(tái)廣泛應(yīng)用于各類企業(yè)和組織的日常辦公和業(yè)務(wù)管理中����。
近日���,泛微官方披露了一個(gè)嚴(yán)重的泛微 E-cology9 未授權(quán) SQL 注入漏洞���。未經(jīng)身份認(rèn)證的遠(yuǎn)程攻擊者可以通過(guò)構(gòu)造特殊的 HTTP 請(qǐng)求,在目標(biāo)系統(tǒng)上執(zhí)行任意 SQL 查詢語(yǔ)句�,成功的利用該漏洞可獲取系統(tǒng)敏感信息���,當(dāng)數(shù)據(jù)庫(kù)為 SQL Server 時(shí)可能進(jìn)一步利用獲取目標(biāo)系統(tǒng)的代碼執(zhí)行權(quán)限����。
360漏洞研究院已復(fù)現(xiàn)泛微 E-cology9 SQL注入漏洞,通過(guò)延時(shí)注入的方式(延時(shí) 4 秒)進(jìn)行了驗(yàn)證�。
發(fā)起 SQL 注入請(qǐng)求
觸發(fā)泛微 E-cology9 未授權(quán)SQL注入
影響以下版本的泛微產(chǎn)品:
E-cology9 < 10.76
官方已發(fā)布新版本中修復(fù)上述漏洞����,受影響用戶請(qǐng)盡快升級(jí)到安全版本。
漏洞修復(fù)版本:
泛微 E-cology9 >= 10.76
盡量不要將該服務(wù)器暴露在公網(wǎng)��,或通過(guò)防火墻規(guī)則限制能夠訪問(wèn)該服務(wù)器的IP地址為可信IP�����。
360測(cè)繪云 Quake:默認(rèn)支持該產(chǎn)品的指紋識(shí)別����。
360高級(jí)持續(xù)性威脅預(yù)警系統(tǒng):已具備該漏洞的檢測(cè)能力�����。告警ID為:60129498�����,建議用戶盡快升級(jí)檢測(cè)規(guī)則庫(kù)���。
360資產(chǎn)與漏洞檢測(cè)管理系統(tǒng):預(yù)計(jì) 2025年7月11日 發(fā)布規(guī)則更新包,支持該漏洞利用行為的檢測(cè)���。
本地安全大腦:默認(rèn)支持該漏洞的PoC檢測(cè)����。
2025年7月10日�����,360漏洞研究院發(fā)布本安全風(fēng)險(xiǎn)通告���。
https://www.weaver.com.cn/cs/securityDownload.html
建議您訂閱360數(shù)字安全-漏洞情報(bào)服務(wù),獲取更多漏洞情報(bào)詳情以及處置建議���,讓您的企業(yè)遠(yuǎn)離漏洞威脅�。
郵箱:360VRI@#
網(wǎng)址:https://vi.loudongyun.360.net
閱讀原文:原文鏈接
該文章在 2025/7/14 18:50:00 編輯過(guò)
400 186 1886
