【高危】- 泛微OA多个高危漏洞安全风险通告
■ 漏洞描述
泛微e-cology OA系统中存在多个高危漏洞,攻击者可利用这些漏洞进行任意文件上传、删除,泄露敏感信息以及getshell。目前,官方已经发布补丁,鉴于这些漏洞影响较大,建议各单位尽快自查修复。
本次通告包含泛微e-cology OA系统以下多个漏洞:
1.泛微e-cology OA多个SQL注入漏洞(CNVD-2019-45169、CNVD-2019-45170、CNVD-2019-45171):泛微OA多个接口存在SQL注入,未经授权的攻击者可利用这些漏洞获取数据库敏感信息。
2.泛微e-cology OA任意文件上传漏洞(CNVD-2019-44096):泛微OA存在任意文件上传漏洞,未经授权的攻击者可利用该漏洞上传特制文件从而获取网站服务器控制权。
3.泛微e-cology OA文件删除漏洞(CNVD-2019-44114):泛微 OA某接口存在文件删除漏洞,经过身份验证的攻击者可利用该漏洞删除任意文件。
■ 影响范围
SQL注入漏洞:
编号:CNVD-2019-45169 版本:泛微e-cology V8
编号:CNVD-2019-45170 版本:泛微e-cology V8
编号:CNVD-2019-45171 版本:泛微e-cology V8
任意文件上传漏洞:
编号:CNVD-2019-44096 版本:泛微e-cology V8
文件删除漏洞:
编号:CNVD-2019-44114 版本:泛微e-cology V8、泛微e-cology V9
■ 漏洞检测
检测方法:
1、查看软件版本。
■ 漏洞修复
厂商已提供漏洞修补方案,请关注厂商主页及时更新:
https://www.weaver.com.cn/cs/securityDownload.asp
■ 临时修复
1、sql注入漏洞,添加waf。
2、文件上传和文件删除漏洞尽快更新补丁。
■ 漏洞详情
https://mp.weixin.qq.com/s/2g03A8Zj1ti4b8YKXyMh1Q
泛微e-cology OA系统中存在多个高危漏洞,攻击者可利用这些漏洞进行任意文件上传、删除,泄露敏感信息以及getshell。目前,官方已经发布补丁,鉴于这些漏洞影响较大,建议各单位尽快自查修复。
本次通告包含泛微e-cology OA系统以下多个漏洞:
1.泛微e-cology OA多个SQL注入漏洞(CNVD-2019-45169、CNVD-2019-45170、CNVD-2019-45171):泛微OA多个接口存在SQL注入,未经授权的攻击者可利用这些漏洞获取数据库敏感信息。
2.泛微e-cology OA任意文件上传漏洞(CNVD-2019-44096):泛微OA存在任意文件上传漏洞,未经授权的攻击者可利用该漏洞上传特制文件从而获取网站服务器控制权。
3.泛微e-cology OA文件删除漏洞(CNVD-2019-44114):泛微 OA某接口存在文件删除漏洞,经过身份验证的攻击者可利用该漏洞删除任意文件。
■ 影响范围
SQL注入漏洞:
编号:CNVD-2019-45169 版本:泛微e-cology V8
编号:CNVD-2019-45170 版本:泛微e-cology V8
编号:CNVD-2019-45171 版本:泛微e-cology V8
任意文件上传漏洞:
编号:CNVD-2019-44096 版本:泛微e-cology V8
文件删除漏洞:
编号:CNVD-2019-44114 版本:泛微e-cology V8、泛微e-cology V9
■ 漏洞检测
检测方法:
1、查看软件版本。
■ 漏洞修复
厂商已提供漏洞修补方案,请关注厂商主页及时更新:
https://www.weaver.com.cn/cs/securityDownload.asp
■ 临时修复
1、sql注入漏洞,添加waf。
2、文件上传和文件删除漏洞尽快更新补丁。
■ 漏洞详情
https://mp.weixin.qq.com/s/2g03A8Zj1ti4b8YKXyMh1Q