2019 年 10 月 18 日,阿里云应急响应中心捕获泛微 e-cology OA 系统前台 SQL 注入漏洞攻击方式。攻击者通过构造特定的 HTTP 请求,成功利用漏洞可在目标服务器上执行 SQL 语句,可导致脱库,风险较大。
漏洞描述
泛微 e-cology OA 系统的 validate.jsp 文件中,由于对参数 capitalid 过滤不严,可导致 SQL 注入漏洞。攻击者利用该漏洞,可在未授权的情况下,远程发送精心构造的 SQL 语句,从而获取数据库敏感信息。阿里云应急响应中心提醒泛微 e-cology OA 用户尽快采取安全措施阻止漏洞攻击。
影响版本
- 泛微 e-cology OA 系统 V8 V9 版本
安全建议
泛微 e-cology OA 系统为商业软件,泛微官方已发布安全更新补丁,请及时下载更新。
官方补丁下载地址
相关链接
- 泛微 ECOLOGY 安全补丁包下载
如若转载,请注明出处:https://www.ozabc.com/jianzhan/413786.html