微慑信息网

泛微OA 曝出WorkflowCenterTreeData接口注入漏洞(限oracle数据库)

玄蜂安全团队10月10日了解到。泛微OA又双叒叕曝出了一个高危漏洞。其存在点是企业使用Oracle数据库在其系统的WorkflowCenterTreeData接口处会因为内置SQL语句拼接不严导致的一个注入漏洞。

这个注入漏洞可以直接导致系统用户数据泄漏,篡改网页内容等一系列重大危害。

建议用户,尽快升级到OA最新系统。

前不久,泛微OA爆出了RCE(远程代码执行)漏洞,造成了较大影响,希望广大用户重视网络安全,增强网络安全防范意识。

以下为玄蜂安全团队复现过程。

漏洞描述

泛微e-cology OA系统的WorkflowCenterTreeData接口在使用oracle数据库时,由于内置sql语句拼接不严,导致其存在sql注入漏洞

漏洞威胁等级

高危

影响范围

不明

漏洞复现

使用payload进行验证

 

 

修改NULL后为要查询的字段名,修改from后为查询的表

以下为复现效果

【巡鉴主动风险感知平台】已添加该漏洞检测插件。

本文标题:泛微OA 曝出WorkflowCenterTreeData接口注入漏洞(限oracle数据库)
本文链接:
(转载请附上本文链接)
http://vulsee.com/archives/vulsee_2019/1010_9017.html
转载请附本站链接,未经允许不得转载,,谢谢:微慑信息网-VulSee.com » 泛微OA 曝出WorkflowCenterTreeData接口注入漏洞(限oracle数据库)
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

微慑信息网 专注工匠精神

访问我们联系我们