当前位置:首页 > 漏洞预警 > 正文

泛微e-cology OA系统前台SQL注入漏洞预警

发布时间:2019-10-12 11:10:50,来源:中国信息通信研究院

      一、基本情况

泛微e-cology OA系统前台SQL注入漏洞,攻击者利用该漏洞可获取数据库敏感信息。

      二、攻击原理

泛微e-cology OA系统的WorkflowCenterTreeData接口在使用Oracle数据库时,由于内置SQL语句拼接不严,导致泛微e-cology OA系统存在SQL注入漏洞。攻击者利用该漏洞,可在未授权的情况下,远程发送精心构造的SQL语句,从而获取数据库敏感信息。

      三、影响范围

受影响的版本:

泛微e-cology OA系统 JSP版

      四、处置建议

1) 目前,泛微OA官方暂未发布补丁,请关注泛微官方以便及时取得安全升级方案。

2) 临时修复方案:

a) 使用参数检查的方式,拦截带有SQL语法的参数传入应用程序;

b) 使用预编译的处理方式处理拼接了用户参数的SQL语句;

c) 在参数即将进入数据库执行之前,对SQL语句的语义进行完整性检查,确认语义没有发生变化;

d) 在出现SQL注入漏洞时,要在出现问题的参数拼接进SQL语句前进行过滤或者校验,不要依赖程序最开始处防护代码;

e) 定期审计数据库执行日志,查看是否存在应用程序正常逻辑之外的SQL 语句执行。

      五、参考链接

1) https://www.cnvd.org.cn/webinfo/show/5235