泛微E-Cology9 SQL注入漏洞
日期:2023-04-19 15:41:55 发布人:信息化建设中心 浏览量:1100
漏洞概要
|
漏洞名称 |
泛微E-Cology9 SQL注入漏洞 |
|
发布时间 |
2023年2月28日 |
|
组件名称 |
泛微E-Cology9 |
|
影响范围 |
泛微E-Cology9 ≤ 10.55 |
|
漏洞类型 |
SQL注入 |
|
利用条件 |
1、用户认证:不需要用户认证 |
|
综合评价 |
<综合评定利用难度>:高危,无需前置条件。 <综合评定威胁等级>:高危,能造成数据库敏感信息泄露。 |
|
官方解决方案 |
已发布 |
漏洞分析
组件介绍
泛微E-Cology9系统是一套基于JSP及SQL Server数据库的OA系统,广泛应用于各个行业。
漏洞描述
2023年2月23日,深信服安全团队监测到一则泛微E-Cology9组件存在SQL注入漏洞的信息,漏洞威胁等级:高危。
该漏洞是由于泛微E-Cology9未验证用户输入的合法性,攻击者可利用该漏洞在未授权的情况下,构造恶意数据进行SQL注入,最终造成数据库敏感信息泄露等。
影响范围
目前受影响的泛微E-Cology9版本:
泛微E-Cology9 ≤ 10.55
修复建议
官方修复建议
当前官方已发布受影响版本的对应补丁,建议受影响的用户及时更新官方的安全补丁。