压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

01?漏洞詳情

影響組件

泛微協(xié)同管理應(yīng)用平臺(tái)e-cology是一套兼具企業(yè)信息門戶、知識(shí)文檔管理、工作流程管理、人力資源管理、客戶關(guān)系管理、項(xiàng)目管理、財(cái)務(wù)管理、資產(chǎn)管理、供應(yīng)鏈管理、數(shù)據(jù)中心功能的企業(yè)大型協(xié)同管理平臺(tái)。

漏洞描述

近日，奇安信CERT監(jiān)測(cè)到泛微e-cology9 WorkflowServiceXml SQL注入漏洞(QVD-2024-26136)在野利用行為，在默認(rèn)配置下，未授權(quán)攻擊者可利用該漏洞執(zhí)行任意SQL語(yǔ)句，從而造成任意命令執(zhí)行。目前該漏洞PoC已在互聯(lián)網(wǎng)上公開(kāi)，鑒于該漏洞影響范圍較大，建議客戶盡快做好自查及防護(hù)。

02?影響范圍

影響版本

泛微e-cology9 < 10.64.1

其他受影響組件

無(wú)

03?復(fù)現(xiàn)情況

目前，奇安信威脅情報(bào)中心安全研究員已成功復(fù)現(xiàn)泛微e-cology9 WorkflowServiceXml SQL注入漏洞(QVD-2024-26136)，截圖如下：

04?受影響資產(chǎn)情況

奇安信鷹圖資產(chǎn)測(cè)繪平臺(tái)數(shù)據(jù)顯示，泛微e-cology9 WorkflowServiceXml SQL注入漏洞(QVD-2024-26136)關(guān)聯(lián)的國(guó)內(nèi)風(fēng)險(xiǎn)資產(chǎn)總數(shù)為51855個(gè)，關(guān)聯(lián)IP總數(shù)為8761個(gè)。國(guó)內(nèi)風(fēng)險(xiǎn)資產(chǎn)分布情況如下：

05?處置建議

安全更新

目前官方已發(fā)布安全補(bǔ)丁，建議受影響用戶升級(jí)至最新版本：

泛微e-cology 9 >= 10.64.1

官方補(bǔ)丁下載地址：

https://www.weaver.com.cn/cs/securityDownload.html

06?參考資料

[1]https://www.weaver.com.cn/cs/securityDownload.html

來(lái)源：奇安信 CERT