原创高危漏洞:泛微E-Cology SQL注入漏洞通告

1# 漏洞概述
泛微协同管理应用平台e-cology是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。

近期,发现各家安全厂商对漏洞发出通告,我们团队也跟进信息
该漏洞为渊龙Sec安全团队,提交给360BugCloud平台的原创漏洞

平台提交编号为:360VUL-2023-00315384

2# 影响版本
  • 部分E-Cology 8且 补丁版本<10.58.0
  • 部分E-Cology 9且 补丁版本<10.58.0
影响数量级别为万级以上

3# 漏洞细节
CVE编号:CVE-2023-3793
国内编号:360VUL-2023-00315384(为我们团队提交)
漏洞类型:SQL注入漏洞
漏洞级别:高危
利用条件:无权限要求
交互要求:0 Click
Poc:已公开
在野利用:未发现

(这是我们团队的提交截图,于2023年6月初提交成功至360BugCloud平台

4# 漏洞复现
团队内部漏洞复现截图如下:

注:很多安全厂商的通告里面都是使用Post方法进行注入,其实Get方法一样能进行注入

5# 漏洞修复
1、官方修复方案
目前官方已发布安全补丁,建议受影响用户尽快将补丁版本升级至10.58及以上。
https://www.weaver.com.cn/cs/securityDownload.asp#

2、临时修复方案
  • 使用防护类设备对相关资产进行防护,但是存在绕过风险,请尽快前往官网下载安装升级补丁。
  • 如非必要,避免将资产暴露在互联网。

本博客所有文章如无特别注明均为原创。作者:渊龙Sec团队复制或转载请以超链接形式注明转自 渊龙Sec安全团队博客
原文地址《原创高危漏洞:泛微E-Cology SQL注入漏洞通告
分享到:更多

相关推荐

发表评论

路人甲 表情
看不清楚?点图切换 Ctrl+Enter快速提交

网友评论(0)