泛微e-cology9 SQL注入漏洞和SSRF漏洞风险通告
2023-2-23 22:24:47 Author: 赛博昆仑CERT(查看原文) 阅读量:77 收藏

-赛博昆仑漏洞安全通告-

泛微e-cology9 SQL注入漏洞
和SSRF漏洞风险通告

漏洞描述

    泛微协同管理应用平台(e-cology)是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台,形成了一系列的通用解决方案和行业解决方案。
    近日,赛博昆仑CERT监测到泛微官方发布了安全补丁,修复了泛微e-cology9的多个漏洞,其中两个为:
  • 泛微e-cology9 SQL注入漏洞
  • 泛微e-cology9 前台SSRF漏洞
漏洞名称
泛微e-cology9 SQL注入漏洞
漏洞公开编号
暂无
昆仑漏洞库编号
CYKL-2023-001651
漏洞类型
SQL注入
公开时间
2023-02-15
漏洞等级
高危
CVSS评分
暂无
漏洞描述
泛微e-cology应用中存在SQL注入漏洞,未经身份验证的远程攻击者可以利用该漏洞获取到数据库中存储的隐私信息。
影响版本
泛微e-cology9 并且 补丁版本 < 10.56
PoC状态
未公开
EXP状态
未公开
在野利用
未知
技术细节
未公开
漏洞名称
泛微e-cology9 前台SSRF漏洞
漏洞公开编号
暂无
昆仑漏洞库编号
CYKL-2023-001652
漏洞类型
SSRF
公开时间
2023-02-15
漏洞等级
中危
CVSS评分
暂无
漏洞描述
泛微e-cology应用中存在SSRF漏洞,未经身份验证的攻击者可以利用该漏洞对内网服务器、办公机进行端口扫描、资产扫描、漏洞扫描,发现服务器内部的可用端口和漏洞。
影响版本
泛微e-cology9 并且 补丁版本 < 10.56
PoC状态
未公开
EXP状态
未公开
在野利用
未知
技术细节
未公开
修复建议
目前,官方已发布修复建议,建议受影响的用户尽快升级至10.56及以上版本
补丁下载地址:
https://www.weaver.com.cn/cs/securityDownload.asp#
补丁安装方法:

技术咨询

赛博昆仑支持对用户提供轻量级的检测规则或热补方式,可提供定制化服务适配多种产品及规则,帮助用户进行漏洞检测和修复。

联系邮箱:[email protected]

公众号:赛博昆仑CERT

参考链接

  • https://www.weaver.com.cn/cs/securityDownload.asp#
时间线

  • 2023年2月15日,泛微官方发布安全补丁

  • 2023年2月23日,赛博昆仑CERT发布安全风险通告

文章来源: http://mp.weixin.qq.com/s?__biz=MzkxMDQyMTIzMA==&mid=2247483915&idx=1&sn=ac5e1c16b47684324d81e59943f61baa&chksm=c12aff8af65d769c378f100c5f3a3d081a110b8b4c4b8463fea14d6a8c26a384a37852193a59#rd
如有侵权请联系:admin#unsafe.sh