专栏名称: 国舜股份

移动互联网时代的综合性网络安全解决方案供应商。专业的安全产品，专业的安全服务团队，全面的安全服务资质，安全不变，国舜同行。

【漏洞预警】泛微e-cology OA系统前台SQL注入漏洞

国舜股份 · 公众号 · · 2019-10-11 00:01

正文

漏洞背景

2019年10月10日CNVD发布了泛微e-cology OA系统存在SQL注入漏洞。攻击者通过构造特定的HTTP请求，成功利用该漏洞可在目标服务器上执行SQL语句。

漏洞描述

泛微e-cology OA系统的WorkflowCenterTreeData接口，且当后端使用Oracle数据库时，由于内置SQL语句拼接不严，导致泛微e-cology OA系统存在SQL注入漏洞。攻击者利用该漏洞可在未授权的情况下，远程发送精心构造的SQL语句，从而获取数据库敏感信息。

漏洞等级

高危

影响版本

泛微e-cology OA系统 ,且使用oracle数据库的JSP版本

安全建议

目前，泛微OA官方暂未发布修复该漏洞补丁，建议用户关注泛微OA官方最新的修复建议。

临时解决建议：

1.使用参数检查的方式，拦截带有SQL语法的参数传入应用程序；

2.使用预编译的处理方式处理拼接了用户参数的SQL语句；

3.在参数即将进入数据库执行之前，对SQL语句的语义进行完整性检查，确认语义没有发生变化；

4.在出现SQL注入漏洞时，要在出现问题的参数拼接进SQL语句前进行过滤或者校验，不要依赖程序最开始处防护代码；

5.定期审计数据库执行日志，查看是否存在应用程序正常逻辑之外的SQL 语句执行；

参考链接

https://www.cnvd.org.cn/webinfo/show/5235

发现 | 发掘

请到「今天看啥」查看全文

推荐文章

C2CC新传媒 · 抗衰老需求激增1003%！这些成分异军突起 | 揭秘吧！成分

6 小时前

低吸波段王 · 2月13日神行午盘

16 小时前

樊登读书 · 买非凡，送李蕾！水灵灵的知识大福利，赶紧带回家！

22 小时前

樊登读书 · 买非凡，送李蕾！水灵灵的知识大福利，赶紧带回家！

22 小时前

微同城本地便民 · 控油去屑必囤！自带山茶花清香，清爽蓬松

昨天

微同城本地便民 · 控油去屑必囤！自带山茶花清香，清爽蓬松

昨天

江苏警方 · 1,000,000元保住了!

2 天前

摄影笔记 · 摄友照片点评

8 年前

极客大本营 · 会语音提醒的智能茶杯，小白也能随时随地喝到大师泡的茶 | 免费试用

7 年前

丁香园临床用药指南 · 一图读懂：双硫仑样反应

7 年前

微路况 · 品牌男装居然这个价？男人过了30，要多穿休闲西裤！

7 年前

蒲公英Ouryao · 第二届中国药品监管科学大会在京召开

7 年前