【已复现】泛微e-cology WorkflowServiceXml SQL注入漏洞

主要观点总结

泛微e-cology是一款协同管理平台，近期官方发布了一个新补丁以修复一个SQL注入漏洞。该漏洞无需权限认证即可利用，攻击者可利用此漏洞获取敏感信息并可能获取目标系统权限。文章详细描述了漏洞的成因、影响、危害等级、可利用性、修复复杂度，并提供了解决方案和相关工具。

关键观点总结

关键观点1: 泛微e-cology平台的漏洞概述

泛微e-cology是一款支持人力资源、财务、行政等多功能管理的协同管理平台。近期官方发布了一个新补丁以修复一个SQL注入漏洞，该漏洞无需认证即可利用，可能造成系统权限泄露。

关键观点2: 漏洞成因

该漏洞是由于泛微e-cology未对用户的输入进行有效的过滤，直接将其拼接进了SQL查询语句中，导致系统出现SQL注入漏洞。

关键观点3: 漏洞影响及危害等级

攻击者可利用此漏洞获取敏感信息，进一步利用可能获取目标系统权限。处置优先级高，漏洞危害等级高。

关键观点4: 漏洞的修复及应对方案

官方已经发布了升级补丁包，支持在线升级和离线补丁安装。同时提供了临时缓解方案，如使用WAF等安全设备进行防护，配置URL访问控制策略，限制访问来源地址等。

文章预览

泛微e-cology是一款由泛微网络科技开发的协同管理平台，支持人力资源、财务、行政等多功能管理和移动办公。 2024年7月，泛微官方发布了新补丁，修复了一处SQL注入漏洞。经分析，攻击者无需认证即可利用该漏洞，建议受影响的客户尽快修复漏洞。 漏洞描述   Description   0 1 漏洞成因 该漏洞是由于泛微e-cology未对用户的输入进行有效的过滤，直接将其拼接进了SQL查询语句中，导致系统出现 SQL 注入漏洞。 漏洞影响 攻击者可利用此漏洞获取敏感信息，进一步利用可能获取目标系统权限。 处置优先级：高 漏洞类型： SQL注入 漏洞危害等级： 高 权限认证要求： 无需权限 系统配置要求： 默认配置可利用 用户交互要求： 无需用户交互 利用成熟度： POC/EXP 未公开 批量可利用性： 可使用通用 POC/EXP，批量检测/利用 修复复杂度： 低，官方提供热修复、 ………………………………