2019年9月19日�����,阿里云應急響應中心監測到有社區媒體披露了泛微e-cology OA系統遠程代碼執行0day漏洞�。攻擊者通過構造特定的HTTP請求�����,成功利用漏洞可在目標服務器上執行任意命令��,風險極大��。
漏洞描述
泛微e-cology OA系統自帶BeanShell組件且開放未授權訪問����,攻擊者調用BeanShell組件接口可直接在目標服務器上執行任意命令�����,漏洞暫無安全補丁發布���,屬0day狀態��。阿里云應急響應中心已捕獲該0day漏洞利用方式��,漏洞真實存在且風險極大����,阿里云應急響應中心提醒泛微e-cology OA用戶盡快采取安全措施阻止漏洞攻擊���。
安全建議
泛微e-cology OA系統為商業軟件��,可直接聯系官方取得安全升級方案�����;在官方安全補丁發布之前�����,臨時關停BeanShell接口或關閉網站對外訪問��。
云盾WAF已可防御此漏洞攻擊
云盾漏洞掃描已支持對該漏洞檢測
云盾云安全中心應急漏洞模塊已支持對該漏洞一鍵檢測
官方鏈接
https://www.weaver.com.cn/cs/securityDownload.asp
漏洞補丁下載地址:https://www.weaver.com.cn/cs/package/JDK/Ecology_Bsh_20190919.zip
我們會關注后續進展��,請隨時關注官方公告��。
如有任何問題���,可隨時通過工單或服務電話95187聯系反饋�。
來源出處:
https://help.aliyun.com/noticelist/articleid/1060057523.html?spm=5176.12818093.bulletin.ddetail.488716d0KGkla4
【漏洞預警】泛微e-cology OA系統前臺SQL注入漏洞
2019年10月10日���,阿里云應急響應中心監測到國家信息安全漏洞共享平臺(CNVD)披露了泛微e-cology OA系統前臺SQL注入漏洞���。攻擊者通過構造特定的HTTP請求�,成功利用漏洞可在目標服務器上執行SQL語句���,風險極大�����。
漏洞描述
泛微e-cology OA系統的WorkflowCenterTreeData接口在使用Oracle數據庫時,由于內置SQL語句拼接不嚴,導致泛微e-cology OA系統存在SQL注入漏洞��。攻擊者利用該漏洞���,可在未授權的情況下�,遠程發送精心構造的SQL語句�����,從而獲取數據庫敏感信息�����。阿里云應急響應中心已捕獲該0day漏洞利用方式�,漏洞真實存在且風險極大����,阿里云應急響應中心提醒泛微e-cology OA用戶盡快采取安全措施阻止漏洞攻擊���。
影響版本
泛微e-cology OA系統 JSP版
安全建議
泛微e-cology OA系統為商業軟件����,泛微官方已發布安全更新補丁��,請及時下載更新���。
官方補丁下載地址:https://www.weaver.com.cn/cs/securityDownload.asp
EC7.0及以下版本安全補丁: https://www.weaver.com.cn/cs/package/Ecology_security_20191010_v6.28.zip
EC8.0及以上版本安全補丁: https://www.weaver.com.cn/cs/package/Ecology_security_20191010_v10.18.zip
云盾WAF已可防御此漏洞攻擊
云盾漏洞掃描已支持對該漏洞檢測
云盾云安全中心應急漏洞模塊已支持對該漏洞一鍵檢測
相關鏈接
https://www.cnvd.org.cn/webinfo/show/5235
我們會關注后續進展��,請隨時關注官方公告��。
如有任何問題�,可隨時通過工單或服務電話95187聯系反饋��。
來源出處:
https://help.aliyun.com/noticelist/articleid/1060065309.html?spm=5176.12818093.bulletin.ddetail.488716d0KGkla4
