收藏 [登錄/注冊] 歡迎
榕基門戶網及子站
聯系我們
  • 福建榕基軟件股份有限公司
  • 電話:0591-87860988
  • 傳真:0591-87869595
  • 地址:福建省福州市鼓樓區
  •    軟件大道89號
  •    A區15座
  • 郵編:350003
您的當前位置:首頁 > 技術支持 > 漏洞公告

泛微e-cology OA系統存在SQL注入漏洞

一、漏洞情況分析

泛微專注于協同管理OA軟件領域,并致力于以協同OA為核心,幫助企業構建全新的移動辦公平臺。作為協同管理軟件行業的實力企業,泛微有業界優秀的協同管理軟件產品。在企業級移動互聯大潮下,泛微發布了全新的以“移動化、社交化、平臺化、云端化”四化為核心的全一代產品系列,包括面向大中型企業的平臺型產品e-cology、面向中小型企業的應用型產品e-office、面向小微型企業的云辦公產品eteams,以及幫助企業對接移動互聯的移動辦公平臺e-mobile和幫助快速對接微信、釘釘等平臺的移動集成平臺等等。

泛微e-cologyOA系統的WorkflowCenterTreeData接口在使用Oracle數據庫時,由于內置SQL語句拼接不嚴,導致泛微e-cology OA系統存在SQL注入漏洞。攻擊者利用該漏洞,可在未授權的情況下,遠程發送精心構造的SQL語句,從而獲取數據庫敏感信息。

該漏洞評級為“高危”。

二、漏洞影響范圍

漏洞影響的產品版本包括:

泛微e-cology OA系統 JSP版本

三、漏洞處置建議

目前,泛微OA官方暫未發布補丁,臨時解決方案如下:

1、使用參數檢查的方式,攔截帶有SQL語法的參數傳入應用程序;

2、使用預編譯的處理方式處理拼接了用戶參數的SQL語句;

3、在參數即將進入數據庫執行之前,對SQL語句的語義進行完整性檢查,確認語義沒有發生變化;

4、在出現SQL注入漏洞時,要在出現問題的參數拼接進SQL語句前進行過濾或者校驗,不要依賴程序最開始處防護代碼;

5、定期審計數據庫執行日志,查看是否存在應用程序正常邏輯之外的SQL 語句執行;

建議使用泛微e-cology OA系統構建網站的信息系統運營者進行自查,發現存在漏洞后,按照臨時解決方案及時進行修復。


福彩3d跨度走势图300期带连线