近日,国家信息安全漏洞共享平台(CNVD)发布了泛微e-cology OA系统存在SQL注入高危漏洞的预警通告。攻击者利用该漏洞,可在未授权的情况下进行SQL注入,获取数据库敏感信息。现将漏洞情况通报如下:
一、漏洞情况
泛微主要为企业构建全新的移动办公平台,该企业具有面向大中型企业的平台型产品e-cology、面向中小型企业的应用型产品e-office、面向小微型企业的云办公产品eteams,以及支持企业对接移动互联的移动办公平台e-mobile和快速对接微信、钉钉等平台的移动集成平台等。
泛微e-cologyOA系统的WorkflowCenterTreeData接口在使用Oracle数据库时,因其内置SQL语句拼接不严,导致泛微e-cology OA系统存在SQL注入高危漏洞。攻击者利用该漏洞,可在未授权的情况下,远程发送精心构造的SQL语句获取数据库敏感信息。
二、影响范围
泛微e-cology OA系统JSP版本。
三、处置建议
目前,泛微OA官方暂未发布修复漏洞补丁,请各单位关注泛微OA官方技术及时进行更新。
临时解决建议:
(一)利用参数检查方式,拦截带有SQL语法的参数传入应用程序;
(二)利用预编译的处理方式处理拼接了用户参数的SQL语句;
(三)在参数即将进入数据库执行前,对SQL语句的语义进行完整性检查,确认语义未发生变化;
(四)在出现SQL注入漏洞时,出现问题的参数拼接进SQL语句前进行过滤或校验,避免依赖程序起始防护代码;
(五)定期审计数据库执行日志,查看是否存在应用程序正常逻辑之外的SQL语句执行。
请广大受影响用户及时进行漏洞修复。
本文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理
