泛微协同管理应用平台e-cology是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。
该漏洞为渊龙Sec安全团队,提交给360BugCloud平台的原创漏洞
平台提交编号为:360VUL-2023-00315384
2# 影响版本
- 部分E-Cology 8且 补丁版本<10.58.0
- 部分E-Cology 9且 补丁版本<10.58.0
3# 漏洞细节
CVE编号:CVE-2023-3793
国内编号:360VUL-2023-00315384(为我们团队提交)
漏洞类型:SQL注入漏洞
漏洞级别:高危
利用条件:无权限要求
交互要求:0 Click
Poc:已公开
在野利用:未发现
(这是我们团队的提交截图,于2023年6月初提交成功至360BugCloud平台)
4# 漏洞复现
团队内部漏洞复现截图如下:
注:很多安全厂商的通告里面都是使用Post方法进行注入,其实Get方法一样能进行注入
5# 漏洞修复
1、官方修复方案
目前官方已发布安全补丁,建议受影响用户尽快将补丁版本升级至10.58及以上。
https://www.weaver.com.cn/cs/securityDownload.asp#
2、临时修复方案
- 使用防护类设备对相关资产进行防护,但是存在绕过风险,请尽快前往官网下载安装升级补丁。
- 如非必要,避免将资产暴露在互联网。
发表评论