漏洞预警|泛微OA(e-cology)曝SQL注入漏洞
时间:2019-10-17 13:01:05来源:信息安全服务部作者:开yun体育官网入口
泛微协同管理应用平台(e-cology)是一套兼具企业信息门户、知识管理、数据中心、工作流管理、人力资源管理、客户与合作伙伴管理、项目管理、财务管理、资产管理功能的协同商务平台。
漏洞简介
严重程度:高危
影响版本:泛微e-cology OA系统JSP版 (Oracle数据库)
漏洞成因
问题出在WorkflowCenterTreeData接口上,在使用Oracle数据库时,由于SQL语句拼接不严谨,导致泛微e-cology OA执行SQL语句,造成SQL注入。
漏洞危害
攻击者利用该漏洞,可在未授权的情况下,远程发送精心构造的SQL语句,获取到数据库敏感信息。
处置建议
暂无官方补丁可用,临时处置建议如下:
1. 使用参数检查的方式,拦截带有SQL语法的参数传入应用程序;
2. 使用预编译的处理方式处理拼接了用户参数的SQL语句;
3. 参数即将进入数据库执行之前,对SQL语句的语义进行完整性检查,确认语义没有发生变化;
4. 在出现SQL注入漏洞时,要在出现问题的参数拼接进SQL语句前进行过滤或者校验,不要依赖程序最开始处防护代码;
5. 建议使用泛微e-cology OA系统构建网站的信息系统运营者进行自查,发现存在漏洞后,按照临时解决方案及时进行修复。