【漏洞预警】泛微E-cology OA系统SQL注入漏洞

2019年10月，白帽汇安全研究院观测外网出现泛微办公软件的SQL注入漏洞，攻击者可在未经身份验证的情况下进行攻击，获得系统敏感数据。该漏洞目前属于0day，所有使用了Oracle数据库的泛微网站都有可能受到影响，且利用难度低，危害大（可获取密码等敏感信息），预计会对泛微的主要服务地区——中国市场产生一定冲击。

该漏洞是由于OA系统的WorkflowCenterTreeData接口中涉及Oracle数据库的SQL语句缺乏安全检查措施所导致的，任意攻击者都可借SQL语句拼接时机注入恶意payload，造成SQL注入攻击。目前官方尚未发布漏洞补丁，所有使用了Oracle数据库的泛微网站都有可能受到影响，请相关网站管理人员在官方发布补丁前及时下线网站。

概况

目前FOFA系统最新数据（一年内数据）显示全球范围内共有10266个泛微服务（基于jsp语言）。中国大陆使用数量最多，共有10166个，中国香港第二，共有51个，美国第三，共有15个，新加坡第四，共有11个，英国第五，共有4个。

全球范围内泛微服务分布情况如下（仅为分布情况，非漏洞影响情况）。

中国大陆地区广东省使用数量最多，共有1559个，四川省第二，共有1014个，河南省第三，共有1008个，江西省第四，共有961个，上海市省第五，共有811个。

危害等级

严重

漏洞原理

泛微e-cology OA系统的WorkflowCenterTreeData接口在接收到用户输入时会在未经过安全过滤的情况下直接拼接到SQL语句中，造成SQL注入。

（上图来源于网络）

漏洞影响

所有使用了Oracle数据库的泛微服务都有可能存在漏洞。

漏洞POC

目前FOFA客户端平台已经更新该远程命令执行漏洞的检测POC。

POC截图

CVE编号

暂无编号 

修复建议

由于目前没有官方补丁，请使用了泛微办公软件且后端数据库是Oracle的网站的管理员及时下线网站。

参考

[1] https://www.weaver.com.cn/

[2] https://baike.baidu.com/item/%E6%B3%9B%E5%BE%AE/426156?fr=aladdin

白帽汇从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。