查看原文
其他

泛微e-cology9 SQL注入漏洞安全风险通告

奇安信 CERT 2023-03-03

奇安信CERT

致力于第一时间为企业级用户提供安全风险通告有效解决方案。




安全通告



泛微协同管理应用平台e-cology是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。

近日,奇安信CERT监测到泛微e-cology9 SQL注入漏洞(QVD-2023-5012),由于系统中存在SQL注入漏洞,未经身份认证的远程攻击者利用此漏洞可以获取数据库敏感信息,进一步利用可能导致系统被控。鉴于该产品用量较多,建议客户尽快做好自查及防护。


漏洞名称

泛微e-cology9 SQL注入漏洞

公开时间

2023-02-13

更新时间

2023-02-23

CVE编号

暂无

其他编号

QVD-2023-5012

威胁类型

代码执行、信息泄露

技术类型

SQL注入

厂商

泛微

产品

e-cology9

风险等级

奇安信CERT风险评级

风险等级

高危

蓝色(一般事件)

现时威胁状态

POC状态

EXP状态

在野利用状态

技术细节状态

未公开

未公开

未发现

未公开

漏洞描述

泛微e-cology9中存在SQL注入漏洞,未经身份认证的远程攻击者利用此漏洞可以获取数据库敏感信息,进一步利用可能导致系统被控。

影响版本

泛微e-cology9 <= 10.55

不受影响版本

泛微e-cology9 >= 10.56

其他受影响组件



威胁评估

漏洞名称

泛微e-cology9 SQL注入漏洞

CVE编号

暂无

其他编号

QVD-2023-5012

CVSS 3.1评级

高危

CVSS 3.1分数

9.8

CVSS向量

访问途径(AV

攻击复杂度(AC

网络

所需权限(PR

用户交互(UI

不需要

影响范围(S

机密性影响(C

不改变

完整性影响(I

可用性影响(A

危害描述

未经身份认证的远程攻击者利用此漏洞可以获取数据库敏感信息,进一步利用可能导致系统被控。



处置建议

目前官方已发布安全补丁,建议受影响用户尽快升级至10.56及以上版本。

https://www.weaver.com.cn/cs/securityDownload.asp#



参考资料

[1]https://www.weaver.com.cn/cs/securityDownload.asp#


时间线

2023年2月23日,奇安信 CERT发布安全风险通告。


点击阅读原文

到奇安信NOX-安全监测平台查询更多漏洞详情

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存