一、漏洞情形

泛微紧张为企业构建全新的移动办公正台,该企业具有面向大中型企业的平台型产品e-cology、面向中小型企业的运用型产品e-office、面向小微型企业的云办公产品eteams,以及支持企业对接移动互联的移动办公正台e-mobile和快速对接微信、钉钉等平台的移动集成平台等。

泛微e-cologyOA系统的WorkflowCenterTreeData接口在利用Oracle数据库时,因其内置SQL语句拼接不严,导致泛微e-cology OA系统存在SQL注入高危漏洞。
攻击者利用该漏洞,可在未授权的情形下,远程发送精心布局的SQL语句获取数据库敏感信息。

泛微数据展现集成jsp参数关于泛微ecology OA体系存在SQL注入高危破绽的紧迫预警传递 Docker

二、影响范围

泛微e-cology OA系统JSP版本。

三、处置建议

目前,泛微OA官方暂未发布修复漏洞补丁,请各单位关注泛微OA官方技能及时进行更新。

临时办理建议:

(一)利用参数检讨办法,拦截带有SQL语法的参数传入运用程序;

(二)利用预编译的处理办法处理拼接了用户参数的SQL语句;

(三)在参数即将进入数据库实行前,对SQL语句的语义进行完全性检讨,确认语义未发生变革;

(四)在涌现SQL注入漏洞时,涌现问题的参数拼接进SQL语句提高行过滤或校验,避免依赖程序起始防护代码

(五)定期审计数据库实行日志,查看是否存在运用程序正常逻辑之外的SQL语句实行。

请广大受影响用户及时进行漏洞修复。

附件:参考链接

https://www.cnvd.org.cn/webinfo/show/5235