点击上方“SecMind安全管家”关注我们
【漏洞预警】泛微OA WorkflowCenterTreeData接口注入漏洞(限oracle数据库)
漏洞描述
10月10日CNVD发布了泛微e-cology OA系统存在SQL注入漏洞,泛微e-cology OA系统的WorkflowCenterTreeData接口在使用oracle数据库时,由于内置sql语句拼接不严,导致其存在sql注入漏洞。攻击者利用该漏洞,可在未授权的情况下,远程发送精心构造的SQL语句,从而获取数据库敏感信息。
影响版本
泛微e-cology OA系统 JSP版
目前,泛微OA官方暂未发布补丁,已经存在该0day的利用方式。
修复建议
使用参数检查的方式,拦截带有SQL语法的参数传入应用程序;
使用预编译的处理方式处理拼接了用户参数的SQL语句;
在参数即将进入数据库执行之前,对SQL语句的语义进行完整性检查,确认语义没有发生变化;
在出现SQL注入漏洞时,要在出现问题的参数拼接进SQL语句前进行过滤或者校验,不要依赖程序最开始处防护代码;
定期审计数据库执行日志,查看是否存在应用程序正常逻辑之外的SQL 语句执行;
建议使用泛微e-cology OA系统构建网站的信息系统运营者进行自查,发现存在漏洞后,按照临时解决方案及时进行修复。
上海豌豆信息技术有限公司拥有一支专业经验丰富,勇于创新的安全技术团队,先后获得了14项软件着作权、ISO9001资质证书、双软资质、3项国家级信息安全服务资质等。公司全力探寻新型网络与信息安全技术,在多个前沿技术领域,包括物联网安全、大数据安全、工控安全、云安全、区块链安全等,通过大数据分析和人工智能技术相结合,快速发现安全威胁并进行响应处置,帮助企业用户对抗各种安全风险,提升企业综合安全防御能力。
参考链接
/warning/detail?id=11ad26c582ffedabd0143939a6a5a188
长按识别二维码关注我们
点击下方“阅读原文”查获取更好的安全服务