|
| 泛微 E-cology9 未授權(quán)SQL注入漏洞 |
| |
| | | |
| | | |
| | 技術(shù)細(xì)節(jié)狀態(tài) | |
| | | |
泛微協(xié)同管理應(yīng)用平臺(tái)(E-cology)是一套兼具企業(yè)信息門戶�、知識(shí)文檔管理、工作流程管理、人力資源管理��、客戶關(guān)系管理����、項(xiàng)目管理、財(cái)務(wù)管理、資產(chǎn)管理���、供應(yīng)鏈管理、數(shù)據(jù)中心功能的企業(yè)大型協(xié)同管理平臺(tái)�����,形成了一系列的通用解決方案和行業(yè)解決方案�����。該平臺(tái)廣泛應(yīng)用于各類企業(yè)和組織的日常辦公和業(yè)務(wù)管理中。
近日�,泛微官方披露了一個(gè)嚴(yán)重的泛微 E-cology9 未授權(quán) SQL 注入漏洞�����。未經(jīng)身份認(rèn)證的遠(yuǎn)程攻擊者可以通過構(gòu)造特殊的 HTTP 請(qǐng)求,在目標(biāo)系統(tǒng)上執(zhí)行任意 SQL 查詢語句����,成功的利用該漏洞可獲取系統(tǒng)敏感信息�,當(dāng)數(shù)據(jù)庫為 SQL Server 時(shí)可能進(jìn)一步利用獲取目標(biāo)系統(tǒng)的代碼執(zhí)行權(quán)限�����。
360漏洞研究院已復(fù)現(xiàn)泛微 E-cology9 SQL注入漏洞��,通過延時(shí)注入的方式(延時(shí) 4 秒)進(jìn)行了驗(yàn)證。
發(fā)起 SQL 注入請(qǐng)求
觸發(fā)泛微 E-cology9 未授權(quán)SQL注入
影響以下版本的泛微產(chǎn)品:
E-cology9 < 10.76
官方已發(fā)布新版本中修復(fù)上述漏洞���,受影響用戶請(qǐng)盡快升級(jí)到安全版本。
漏洞修復(fù)版本:
泛微 E-cology9 >= 10.76
盡量不要將該服務(wù)器暴露在公網(wǎng)����,或通過防火墻規(guī)則限制能夠訪問該服務(wù)器的IP地址為可信IP�����。
360測繪云 Quake:默認(rèn)支持該產(chǎn)品的指紋識(shí)別���。
360高級(jí)持續(xù)性威脅預(yù)警系統(tǒng):已具備該漏洞的檢測能力。告警ID為:60129498��,建議用戶盡快升級(jí)檢測規(guī)則庫�����。
360資產(chǎn)與漏洞檢測管理系統(tǒng):預(yù)計(jì) 2025年7月11日 發(fā)布規(guī)則更新包���,支持該漏洞利用行為的檢測�����。
本地安全大腦:默認(rèn)支持該漏洞的PoC檢測。
2025年7月10日���,360漏洞研究院發(fā)布本安全風(fēng)險(xiǎn)通告。
https://www.weaver.com.cn/cs/securityDownload.html
建議您訂閱360數(shù)字安全-漏洞情報(bào)服務(wù)����,獲取更多漏洞情報(bào)詳情以及處置建議�,讓您的企業(yè)遠(yuǎn)離漏洞威脅��。
郵箱:360VRI@360.cn
網(wǎng)址:https://vi.loudongyun.360.net
閱讀原文:原文鏈接
該文章在 2025/7/14 18:50:00 編輯過
400 186 1886
