泛微E-cology9 SQL注入漏洞安全風(fēng)險(xiǎn)通告
責(zé)編:gltian |2025-06-19 14:25:30| 漏洞概述 | |||
| 漏洞名稱 | 泛微E-cology9 SQL注入漏洞 | ||
| 漏洞編號(hào) | QVD-2025-23834 | ||
| 公開時(shí)間 | 2025-06-16 | 影響量級(jí) | 萬級(jí) |
| 奇安信評(píng)級(jí) | 高危 | CVSS 3.1分?jǐn)?shù) | 9.8 |
| 威脅類型 | 代碼執(zhí)行、信息泄露 | 利用可能性 | 高 |
| POC狀態(tài) | 未公開 | 在野利用狀態(tài) | 未發(fā)現(xiàn) |
| EXP狀態(tài) | 未公開 | 技術(shù)細(xì)節(jié)狀態(tài) | 未公開 |
| 危害描述:攻擊者可利用該漏洞獲取數(shù)據(jù)庫敏感信息,并可能利用Ole組件導(dǎo)出為Webshell實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行,進(jìn)而獲取服務(wù)器權(quán)限。 | |||
01?漏洞詳情
影響組件
泛微E-cology9 OA系統(tǒng)是一款全面的企業(yè)管理軟件,涵蓋了人力資源管理、財(cái)務(wù)管理、供應(yīng)鏈管理等多個(gè)模塊,能夠幫助企業(yè)實(shí)現(xiàn)全面的業(yè)務(wù)數(shù)字化和智能化管理。
漏洞描述
近日,奇安信CERT監(jiān)測(cè)到官方修復(fù)泛微E-cology9 SQL注入漏洞(QVD-2025-23834),該漏洞源于對(duì)用戶傳入的參數(shù)沒有嚴(yán)格校驗(yàn),直接拼接造成SQL注入漏洞。攻擊者可利用該漏洞獲取數(shù)據(jù)庫敏感信息,并可能利用Ole組件導(dǎo)出為Webshell實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行,進(jìn)而獲取服務(wù)器權(quán)限。鑒于該漏洞影響范圍較大,建議客戶盡快做好自查及防護(hù)。
02?影響范圍
影響版本
泛微E-cology9 < v10.75
其他受影響組件
無
03?復(fù)現(xiàn)情況
目前,奇安信威脅情報(bào)中心安全研究員已成功復(fù)現(xiàn)泛微E-cology9 SQL注入漏洞(QVD-2025-23834),截圖如下:
04?處置建議
安全更新
泛微官方已發(fā)布修復(fù)補(bǔ)丁,請(qǐng)盡快更新至v10.75版本補(bǔ)丁:
https://www.weaver.com.cn/cs/securityDownload.html
05?參考資料
[1]https://www.weaver.com.cn/cs/securityDownload.html
聲明:本文來自奇安信 CERT,稿件和圖片版權(quán)均歸原作者所有。所涉觀點(diǎn)不代表東方安全立場(chǎng),轉(zhuǎn)載目的在于傳遞更多信息。如有侵權(quán),請(qǐng)聯(lián)系rhliu@skdlabs.com,我們將及時(shí)按原作者或權(quán)利人的意愿予以更正。
- 區(qū)塊鏈賦能可信數(shù)據(jù)空間建設(shè)的研究與實(shí)踐
- 泛微E-cology9 SQL注入漏洞安全風(fēng)險(xiǎn)通告
- 國家安全部:守護(hù)數(shù)字安全的關(guān)鍵力量之商用密碼
- 數(shù)字時(shí)代的“綜合認(rèn)知安全”
- Kimsuky (APT-Q-2) 組織近期Endoor惡意軟件分析
- HoneypotNet:針對(duì)模型提取的后門攻擊
- 工信部:關(guān)于防范KeeLoader惡意軟件的風(fēng)險(xiǎn)提示
- Windows SMB權(quán)限提升漏洞 (CVE-2025-33073) 安全風(fēng)險(xiǎn)通告
- 約10萬納稅人賬戶遭惡意劫持,稅務(wù)機(jī)關(guān)損失超4.5億元
- 國家安全部:一封奇怪的學(xué)術(shù)申請(qǐng)郵件