【已复现】泛微e-cology WorkflowServiceXml SQL注入漏洞

文章预览

泛微e-cology是一款由泛微网络科技开发的协同管理平台，支持人力资源、财务、行政等多功能管理和移动办公。 2024年7月，泛微官方发布了新补丁，修复了一处SQL注入漏洞。经分析，攻击者无需认证即可利用该漏洞，建议受影响的客户尽快修复漏洞。 漏洞描述   Description   0 1 漏洞成因 该漏洞是由于泛微e-cology未对用户的输入进行有效的过滤，直接将其拼接进了SQL查询语句中，导致系统出现 SQL 注入漏洞。 漏洞影响 攻击者可利用此漏洞获取敏感信息，进一步利用可能获取目标系统权限。 处置优先级：高 漏洞类型： SQL注入 漏洞危害等级： 高 权限认证要求： 无需权限 系统配置要求： 默认配置可利用 用户交互要求： 无需用户交互 利用成熟度： POC/EXP 未公开 批量可利用性： 可使用通用 POC/EXP，批量检测/利用 修复复杂度： 低，官方提供热修复、 ………………………………