泛微e-cology OA系统validate.jsp前台SQL注入漏洞

• • 腾讯云建站教程
  • 宝塔面板建站教程
  • 老薛主机建站教程
  • SiteGround建站教程

2019 年 10 月 18 日，阿里云应急响应中心捕获泛微 e-cology OA 系统前台 SQL 注入漏洞攻击方式。攻击者通过构造特定的 HTTP 请求，成功利用漏洞可在目标服务器上执行 SQL 语句，可导致脱库，风险较大。

漏洞描述

泛微 e-cology OA 系统的 validate.jsp 文件中，由于对参数 capitalid 过滤不严，可导致 SQL 注入漏洞。攻击者利用该漏洞，可在未授权的情况下，远程发送精心构造的 SQL 语句，从而获取数据库敏感信息。阿里云应急响应中心提醒泛微 e-cology OA 用户尽快采取安全措施阻止漏洞攻击。

影响版本

• 泛微 e-cology OA 系统 V8 V9 版本

安全建议

泛微 e-cology OA 系统为商业软件，泛微官方已发布安全更新补丁，请及时下载更新。

相关链接

• 泛微 ECOLOGY 安全补丁包下载