泛微协同管理应用平台(e-cology)是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。
Ecology 官方在 4 月 18 日发布了补丁更新,修复了一处由墨云科技安全研究员报送的 SQL
注入漏洞。
漏洞描述
泛微 Ecology OA 系统由于对用户传入的数据过滤处理不当,导致存在 SQL
注入漏洞,远程且未经过身份认证的攻击者可利用此漏洞进行 SQL 注入攻击,从而可窃取数据库敏感信息。
长亭科技安全研究员经过分析后确认此漏洞同时影响 Ecology 9 和 8
两个版本系列,使用泛微 Ecology 的用户需尽快进行补丁更新升级。
检测工具
远程检测工具:
复制链接https://stack.chaitin.com/tool/detail?id=1
前往xray - CT Stack 安全社区下载最新版本xray。
执行:./xray ws --poc
poc-yaml-weaver-ecology-oa-plugin-checkserver-setting-sqli --url
http://example.com 即可扫描。
本地检测工具:
复制链接https://stack.chaitin.com/tool/detail?id=758
前往 CT Stack 安全社区下载牧云本地检测工具。
影响范围
泛微 ecology 9.x 补丁版本号 <=
v10.56
泛微 ecology 8.x 补丁版本号 <=
v10.56
解决方案
目前官方已发布安全补丁进行漏洞修复,用户可通过更新升级安全补丁至 v10.57
版本进行漏洞修复:
https://www.weaver.com.cn/cs/securityDownload.html?src=cn
来源:长亭技术沙盒
泛微 Ecology OA
SQL 注入漏洞
泛微协同管理应用平台(e-cology)是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。
Ecology 官方在 4 月 18 日发布了补丁更新,修复了一处由墨云科技安全研究员报送的 SQL 注入漏洞。
漏洞描述
泛微 Ecology OA 系统由于对用户传入的数据过滤处理不当,导致存在 SQL
注入漏洞,远程且未经过身份认证的攻击者可利用此漏洞进行 SQL 注入攻击,从而可窃取数据库敏感信息。
长亭科技安全研究员经过分析后确认此漏洞同时影响 Ecology 9 和 8 两个版本系列,使用泛微 Ecology
的用户需尽快进行补丁更新升级。
检测工具
远程检测工具:
复制链接https://stack.chaitin.com/tool/detail?id=1 前往xray - CT
Stack 安全社区下载最新版本xray。
执行:./xray ws --poc
poc-yaml-weaver-ecology-oa-plugin-checkserver-setting-sqli --url
http://example.com 即可扫描。
本地检测工具:
复制链接https://stack.chaitin.com/tool/detail?id=758 前往
CT Stack 安全社区下载牧云本地检测工具。
影响范围
<=
v10.56"]]],["p",{"list":{"isChecked":false,"isOrdered":false,"isTaskList":false,"level":0,"listId":"1","listStyle":{"align":"left","format":"bullet","text":""}},"numPr":{"id":"1","level":0},"shd":{"color":"auto","fill":"#FFFFFF","val":"clear"},"spacing":{"after":"12pt","afterAutospacing":false,"before":"0pt","beforeAutospacing":false},"styleId":"15"},["span",{"data-type":"text"},["span",{"fonts":{"hint":"eastAsia"},"data-type":"leaf"},"泛微"],["span",{"data-type":"leaf"},"
ecology 8.x
"],["span",{"fonts":{"hint":"eastAsia"},"data-type":"leaf"},"补丁版本号
"],["span",{"data-type":"leaf"},"<= v10.56"]]]]"
style="outline: 0px; max-width: 100%; color: rgba(0, 0, 0, 0.9);
font-family: system-ui, -apple-system, BlinkMacSystemFont,
"Helvetica Neue", "PingFang SC", "Hiragino Sans GB", "Microsoft
YaHei UI", "Microsoft YaHei", Arial, sans-serif; letter-spacing:
0.544px; text-align: justify; white-space: normal; box-sizing:
border-box !important; overflow-wrap: break-word
!important;">
解决方案
目前官方已发布安全补丁进行漏洞修复,用户可通过更新升级安全补丁至 v10.57
版本进行漏洞修复:
https://www.weaver.com.cn/cs/securityDownload.html?src=cn
产品支持
雷池:默认支持该漏洞检测
全悉:默认支持该漏洞利用行为的检测
云图:默认支持该产品的指纹识别,同时支持该漏洞的PoC原理检测
洞鉴:自定义POC原理扫描检测
牧云:
发布本地检测小工具
泛微 Ecology OA
SQL 注入漏洞
泛微协同管理应用平台(e-cology)是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。
Ecology 官方在 4 月 18 日发布了补丁更新,修复了一处由墨云科技安全研究员报送的 SQL 注入漏洞。
漏洞描述
泛微 Ecology OA 系统由于对用户传入的数据过滤处理不当,导致存在 SQL
注入漏洞,远程且未经过身份认证的攻击者可利用此漏洞进行 SQL 注入攻击,从而可窃取数据库敏感信息。
长亭科技安全研究员经过分析后确认此漏洞同时影响 Ecology 9 和 8 两个版本系列,使用泛微 Ecology
的用户需尽快进行补丁更新升级。
检测工具
远程检测工具:
复制链接https://stack.chaitin.com/tool/detail?id=1 前往xray - CT
Stack 安全社区下载最新版本xray。
执行:./xray ws --poc
poc-yaml-weaver-ecology-oa-plugin-checkserver-setting-sqli --url
http://example.com 即可扫描。
本地检测工具:
复制链接https://stack.chaitin.com/tool/detail?id=758 前往
CT Stack 安全社区下载牧云本地检测工具。
影响范围
<=
v10.56"]]],["p",{"list":{"isChecked":false,"isOrdered":false,"isTaskList":false,"level":0,"listId":"1","listStyle":{"align":"left","format":"bullet","text":""}},"numPr":{"id":"1","level":0},"shd":{"color":"auto","fill":"#FFFFFF","val":"clear"},"spacing":{"after":"12pt","afterAutospacing":false,"before":"0pt","beforeAutospacing":false},"styleId":"15"},["span",{"data-type":"text"},["span",{"fonts":{"hint":"eastAsia"},"data-type":"leaf"},"泛微"],["span",{"data-type":"leaf"},"
ecology 8.x
"],["span",{"fonts":{"hint":"eastAsia"},"data-type":"leaf"},"补丁版本号
"],["span",{"data-type":"leaf"},"<= v10.56"]]]]"
style="outline: 0px; max-width: 100%; color: rgba(0, 0, 0, 0.9);
font-family: system-ui, -apple-system, BlinkMacSystemFont,
"Helvetica Neue", "PingFang SC", "Hiragino Sans GB", "Microsoft
YaHei UI", "Microsoft YaHei", Arial, sans-serif; letter-spacing:
0.544px; text-align: justify; white-space: normal; box-sizing:
border-box !important; overflow-wrap: break-word
!important;">
解决方案
目前官方已发布安全补丁进行漏洞修复,用户可通过更新升级安全补丁至 v10.57
版本进行漏洞修复:
https://www.weaver.com.cn/cs/securityDownload.html?src=cn
产品支持
雷池:默认支持该漏洞检测
全悉:默认支持该漏洞利用行为的检测
云图:默认支持该产品的指纹识别,同时支持该漏洞的PoC原理检测
洞鉴:自定义POC原理扫描检测
牧云:
发布本地检测小工具
泛微 Ecology OA
SQL 注入漏洞
泛微协同管理应用平台(e-cology)是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。
Ecology 官方在 4 月 18 日发布了补丁更新,修复了一处由墨云科技安全研究员报送的 SQL 注入漏洞。
漏洞描述
泛微 Ecology OA 系统由于对用户传入的数据过滤处理不当,导致存在 SQL
注入漏洞,远程且未经过身份认证的攻击者可利用此漏洞进行 SQL 注入攻击,从而可窃取数据库敏感信息。
长亭科技安全研究员经过分析后确认此漏洞同时影响 Ecology 9 和 8 两个版本系列,使用泛微 Ecology
的用户需尽快进行补丁更新升级。
检测工具
远程检测工具:
复制链接https://stack.chaitin.com/tool/detail?id=1 前往xray - CT
Stack 安全社区下载最新版本xray。
执行:./xray ws --poc
poc-yaml-weaver-ecology-oa-plugin-checkserver-setting-sqli --url
http://example.com 即可扫描。
本地检测工具:
复制链接https://stack.chaitin.com/tool/detail?id=758 前往
CT Stack 安全社区下载牧云本地检测工具。
影响范围
<=
v10.56"]]],["p",{"list":{"isChecked":false,"isOrdered":false,"isTaskList":false,"level":0,"listId":"1","listStyle":{"align":"left","format":"bullet","text":""}},"numPr":{"id":"1","level":0},"shd":{"color":"auto","fill":"#FFFFFF","val":"clear"},"spacing":{"after":"12pt","afterAutospacing":false,"before":"0pt","beforeAutospacing":false},"styleId":"15"},["span",{"data-type":"text"},["span",{"fonts":{"hint":"eastAsia"},"data-type":"leaf"},"泛微"],["span",{"data-type":"leaf"},"
ecology 8.x
"],["span",{"fonts":{"hint":"eastAsia"},"data-type":"leaf"},"补丁版本号
"],["span",{"data-type":"leaf"},"<= v10.56"]]]]"
style="outline: 0px; max-width: 100%; color: rgba(0, 0, 0, 0.9);
font-family: system-ui, -apple-system, BlinkMacSystemFont,
"Helvetica Neue", "PingFang SC", "Hiragino Sans GB", "Microsoft
YaHei UI", "Microsoft YaHei", Arial, sans-serif; letter-spacing:
0.544px; text-align: justify; white-space: normal; box-sizing:
border-box !important; overflow-wrap: break-word
!important;">
解决方案
目前官方已发布安全补丁进行漏洞修复,用户可通过更新升级安全补丁至 v10.57
版本进行漏洞修复:
https://www.weaver.com.cn/cs/securityDownload.html?src=cn
产品支持
雷池:默认支持该漏洞检测
全悉:默认支持该漏洞利用行为的检测
云图:默认支持该产品的指纹识别,同时支持该漏洞的PoC原理检测
洞鉴:自定义POC原理扫描检测
牧云:
发布本地检测小工具
泛微EcologyOASQL注入漏洞
泛微协同管理应用平台(e-cology)是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。
Ecology 官方在 4 月 18 日发布了补丁更新,修复了一处由墨云科技安全研究员报送的 SQL 注入漏洞。
漏洞描述
泛微 Ecology OA 系统由于对用户传入的数据过滤处理不当,导致存在 SQL 注入漏洞,远程且未经过身份认证的攻击者可利用此漏洞进行 SQL 注入攻击,从而可窃取数据库敏感信息。
长亭科技安全研究员经过分析后确认此漏洞同时影响 Ecology 9 和 8 两个版本系列,使用泛微 Ecology 的用户需尽快进行补丁更新升级。
检测工具
远程检测工具:
复制链接https://stack.chaitin.com/tool/detail?id=1 前往xray - CT Stack 安全社区下载最新版本xray。
执行:./xray ws --poc poc-yaml-weaver-ecology-oa-plugin-checkserver-setting-sqli --url http://example.com 即可扫描。
本地检测工具:
复制链接https://stack.chaitin.com/tool/detail?id=758 前往 CT Stack 安全社区下载牧云本地检测工具。
影响范围
泛微 ecology 9.x 补丁版本号 <= v10.56
泛微 ecology 8.x 补丁版本号 <= v10.56
解决方案
目前官方已发布安全补丁进行漏洞修复,用户可通过更新升级安全补丁至 v10.57 版本进行漏洞修复:
https://www.weaver.com.cn/cs/securityDownload.html?src=cn
来源:长亭技术沙盒
泛微 Ecology OA SQL 注入漏洞
泛微协同管理应用平台(e-cology)是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。
Ecology 官方在 4 月 18 日发布了补丁更新,修复了一处由墨云科技安全研究员报送的 SQL 注入漏洞。
漏洞描述
泛微 Ecology OA 系统由于对用户传入的数据过滤处理不当,导致存在 SQL 注入漏洞,远程且未经过身份认证的攻击者可利用此漏洞进行 SQL 注入攻击,从而可窃取数据库敏感信息。
长亭科技安全研究员经过分析后确认此漏洞同时影响 Ecology 9 和 8 两个版本系列,使用泛微 Ecology 的用户需尽快进行补丁更新升级。
检测工具
远程检测工具:
复制链接https://stack.chaitin.com/tool/detail?id=1 前往xray - CT Stack 安全社区下载最新版本xray。
执行:./xray ws --poc poc-yaml-weaver-ecology-oa-plugin-checkserver-setting-sqli --url http://example.com 即可扫描。
本地检测工具:
复制链接https://stack.chaitin.com/tool/detail?id=758 前往 CT Stack 安全社区下载牧云本地检测工具。
影响范围
<= v10.56"]]],["p",{"list":{"isChecked":false,"isOrdered":false,"isTaskList":false,"level":0,"listId":"1","listStyle":{"align":"left","format":"bullet","text":""}},"numPr":{"id":"1","level":0},"shd":{"color":"auto","fill":"#FFFFFF","val":"clear"},"spacing":{"after":"12pt","afterAutospacing":false,"before":"0pt","beforeAutospacing":false},"styleId":"15"},["span",{"data-type":"text"},["span",{"fonts":{"hint":"eastAsia"},"data-type":"leaf"},"泛微"],["span",{"data-type":"leaf"}," ecology 8.x "],["span",{"fonts":{"hint":"eastAsia"},"data-type":"leaf"},"补丁版本号 "],["span",{"data-type":"leaf"},"<= v10.56"]]]]" style="outline: 0px; max-width: 100%; color: rgba(0, 0, 0, 0.9); font-family: system-ui, -apple-system, BlinkMacSystemFont, "Helvetica Neue", "PingFang SC", "Hiragino Sans GB", "Microsoft YaHei UI", "Microsoft YaHei", Arial, sans-serif; letter-spacing: 0.544px; text-align: justify; white-space: normal; box-sizing: border-box !important; overflow-wrap: break-word !important;">
泛微 ecology 9.x 补丁版本号 <= v10.56
泛微 ecology 8.x 补丁版本号 <= v10.56
解决方案
目前官方已发布安全补丁进行漏洞修复,用户可通过更新升级安全补丁至 v10.57 版本进行漏洞修复:
https://www.weaver.com.cn/cs/securityDownload.html?src=cn
产品支持
雷池:默认支持该漏洞检测
全悉:默认支持该漏洞利用行为的检测
云图:默认支持该产品的指纹识别,同时支持该漏洞的PoC原理检测
洞鉴:自定义POC原理扫描检测
牧云: 发布本地检测小工具
泛微 Ecology OA SQL 注入漏洞
泛微协同管理应用平台(e-cology)是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。
Ecology 官方在 4 月 18 日发布了补丁更新,修复了一处由墨云科技安全研究员报送的 SQL 注入漏洞。
漏洞描述
泛微 Ecology OA 系统由于对用户传入的数据过滤处理不当,导致存在 SQL 注入漏洞,远程且未经过身份认证的攻击者可利用此漏洞进行 SQL 注入攻击,从而可窃取数据库敏感信息。
长亭科技安全研究员经过分析后确认此漏洞同时影响 Ecology 9 和 8 两个版本系列,使用泛微 Ecology 的用户需尽快进行补丁更新升级。
检测工具
远程检测工具:
复制链接https://stack.chaitin.com/tool/detail?id=1 前往xray - CT Stack 安全社区下载最新版本xray。
执行:./xray ws --poc poc-yaml-weaver-ecology-oa-plugin-checkserver-setting-sqli --url http://example.com 即可扫描。
本地检测工具:
复制链接https://stack.chaitin.com/tool/detail?id=758 前往 CT Stack 安全社区下载牧云本地检测工具。
影响范围
<= v10.56"]]],["p",{"list":{"isChecked":false,"isOrdered":false,"isTaskList":false,"level":0,"listId":"1","listStyle":{"align":"left","format":"bullet","text":""}},"numPr":{"id":"1","level":0},"shd":{"color":"auto","fill":"#FFFFFF","val":"clear"},"spacing":{"after":"12pt","afterAutospacing":false,"before":"0pt","beforeAutospacing":false},"styleId":"15"},["span",{"data-type":"text"},["span",{"fonts":{"hint":"eastAsia"},"data-type":"leaf"},"泛微"],["span",{"data-type":"leaf"}," ecology 8.x "],["span",{"fonts":{"hint":"eastAsia"},"data-type":"leaf"},"补丁版本号 "],["span",{"data-type":"leaf"},"<= v10.56"]]]]" style="outline: 0px; max-width: 100%; color: rgba(0, 0, 0, 0.9); font-family: system-ui, -apple-system, BlinkMacSystemFont, "Helvetica Neue", "PingFang SC", "Hiragino Sans GB", "Microsoft YaHei UI", "Microsoft YaHei", Arial, sans-serif; letter-spacing: 0.544px; text-align: justify; white-space: normal; box-sizing: border-box !important; overflow-wrap: break-word !important;">
泛微 ecology 9.x 补丁版本号 <= v10.56
泛微 ecology 8.x 补丁版本号 <= v10.56
解决方案
目前官方已发布安全补丁进行漏洞修复,用户可通过更新升级安全补丁至 v10.57 版本进行漏洞修复:
https://www.weaver.com.cn/cs/securityDownload.html?src=cn
产品支持
雷池:默认支持该漏洞检测
全悉:默认支持该漏洞利用行为的检测
云图:默认支持该产品的指纹识别,同时支持该漏洞的PoC原理检测
洞鉴:自定义POC原理扫描检测
牧云: 发布本地检测小工具
泛微 Ecology OA SQL 注入漏洞
泛微协同管理应用平台(e-cology)是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。
Ecology 官方在 4 月 18 日发布了补丁更新,修复了一处由墨云科技安全研究员报送的 SQL 注入漏洞。
漏洞描述
泛微 Ecology OA 系统由于对用户传入的数据过滤处理不当,导致存在 SQL 注入漏洞,远程且未经过身份认证的攻击者可利用此漏洞进行 SQL 注入攻击,从而可窃取数据库敏感信息。
长亭科技安全研究员经过分析后确认此漏洞同时影响 Ecology 9 和 8 两个版本系列,使用泛微 Ecology 的用户需尽快进行补丁更新升级。
检测工具
远程检测工具:
复制链接https://stack.chaitin.com/tool/detail?id=1 前往xray - CT Stack 安全社区下载最新版本xray。
执行:./xray ws --poc poc-yaml-weaver-ecology-oa-plugin-checkserver-setting-sqli --url http://example.com 即可扫描。
本地检测工具:
复制链接https://stack.chaitin.com/tool/detail?id=758 前往 CT Stack 安全社区下载牧云本地检测工具。
影响范围
<= v10.56"]]],["p",{"list":{"isChecked":false,"isOrdered":false,"isTaskList":false,"level":0,"listId":"1","listStyle":{"align":"left","format":"bullet","text":""}},"numPr":{"id":"1","level":0},"shd":{"color":"auto","fill":"#FFFFFF","val":"clear"},"spacing":{"after":"12pt","afterAutospacing":false,"before":"0pt","beforeAutospacing":false},"styleId":"15"},["span",{"data-type":"text"},["span",{"fonts":{"hint":"eastAsia"},"data-type":"leaf"},"泛微"],["span",{"data-type":"leaf"}," ecology 8.x "],["span",{"fonts":{"hint":"eastAsia"},"data-type":"leaf"},"补丁版本号 "],["span",{"data-type":"leaf"},"<= v10.56"]]]]" style="outline: 0px; max-width: 100%; color: rgba(0, 0, 0, 0.9); font-family: system-ui, -apple-system, BlinkMacSystemFont, "Helvetica Neue", "PingFang SC", "Hiragino Sans GB", "Microsoft YaHei UI", "Microsoft YaHei", Arial, sans-serif; letter-spacing: 0.544px; text-align: justify; white-space: normal; box-sizing: border-box !important; overflow-wrap: break-word !important;">
泛微 ecology 9.x 补丁版本号 <= v10.56
泛微 ecology 8.x 补丁版本号 <= v10.56
解决方案
目前官方已发布安全补丁进行漏洞修复,用户可通过更新升级安全补丁至 v10.57 版本进行漏洞修复:
https://www.weaver.com.cn/cs/securityDownload.html?src=cn
产品支持
雷池:默认支持该漏洞检测
全悉:默认支持该漏洞利用行为的检测
云图:默认支持该产品的指纹识别,同时支持该漏洞的PoC原理检测
洞鉴:自定义POC原理扫描检测
牧云: 发布本地检测小工具