【已复现】泛微 E-COLOGY存在SQL注入漏洞
【已复现】泛微 E-COLOGY存在SQL注入漏洞
安恒研究院 安恒信息CERT 2024-07-15 18:18
|
漏洞概述 |
|||
|
漏洞名称 |
泛微 E-COLOGY存在SQL注入漏洞 |
||
|
安恒CERT评级 |
1级 |
CVSS3.1评分 |
9.8(安恒自评) |
|
CVE编号 |
未分配 |
CNVD编号 |
未分配 |
|
CNNVD编号 |
未分配 |
安恒CERT编号 |
WM-202407-000002 |
|
POC情况 |
已发现 |
EXP情况 |
未发现 |
|
在野利用 |
已发现 |
研究情况 |
已复现 |
|
危害描述 |
远程未授权攻击者可利用此漏洞获取敏感信息,进一步利用可能获取目标系统权限。 |
||
该产品主要使用客户行业分布广泛,漏洞危害性高,建议客户尽快做好自查及防护。
漏洞信息
产品描述
泛微E-COLOGY是一款由中国泛微软件系统股份有限公司开发的企业协同管理软件,为中大型组织创建全新的高效协同办公环境,智能语音办公,简化软件操作界面、身份认证、电子签名、电子签章、数据存证让合同全程数字化。
漏洞危害等级:
严重
漏洞类型:
SQL注入
影响范围
影响版本:
version < 10.64.1
安全版本:
version >= 10.64.1
CVSS向量
访问途径(AV):网络
攻击复杂度(AC):低
所需权限(PR):无需任何权限
用户交互(UI):不需要用户交互
影响范围 (S):不变
机密性影响 (C):高
完整性影响 (l):高
可用性影响 (A):高
修复方案
官方修复方案:
https://www.weaver.com.cn/cs/securityDownload.html?src=cn
产品能力覆盖
|
产品名称 |
覆盖补丁包 |
|
AiLPHA大数据平台 |
GoldenEyeIPv6_XXXXX_strategy2.0.XXXXX.240715.1及以上版本 |
|
APT攻击预警平台 |
GoldenEyeIPv6_XXXXX_strategy2.0.XXXXX.240715.1及以上版本 |
|
明鉴漏洞扫描系统 |
V1.3.1759.1656及以上版本 |
|
WAF |
已支持 |
|
玄武盾 |
已支持 |
参考资料
https://www.weaver.com.cn/cs/securityDownload.html?src=cn
技术支持
如有漏洞相关需求支持请联系400-6059-110获取相关能力支撑。