各相关单位:
近日,国家信息安全漏洞共享平台(CNVD)收录了泛微e-cology OA系统远程代码执行漏洞(CNVD-2019-32204)和泛微e-cology OA系统SQL注入漏洞(CNVD-2019-34241)。目前,泛微公司已针对以上两个漏洞发布官方补丁。
一、漏洞情况分析
泛微协同管理应用平台(e-cology)是一套兼具企业信息门户、知识管理、数据中心、工作流管理、人力资源管理、客户与合作伙伴管理、项目管理、财务管理、资产管理功能的协同商务平台。本次预警通知涉及该系统内的两个漏洞:
1. 远程代码执行漏洞(CNVD-2019-32204)
e-cology OA系统远程代码执行漏洞存在于泛微协同管理应用平台OA系统的BeanShell组件中,该组件为系统自带且允许未授权访问。攻击者通过调用BeanShell组件的问题接口可直接在目标服务器上执行任意命令。
2. SQL注入漏洞(CNVD-2019-34241)
泛微e-cologyOA系统的WorkflowCenterTreeData接口在使用Oracle数据库时,由于内置SQL语句拼接不严,导致系统存在SQL注入漏洞。攻击者利用该漏洞,可在未授权的情况下,远程发送精心构造的SQL语句,从而获取数据库敏感信息。
CNVD对两漏洞的综合评级均为“高危”。
二、漏洞影响范围
远程代码执行漏洞(CNVD-2019-32204)影响的产品范围为:泛微e-cology OA系统。
SQL注入漏洞(CNVD-2019-34241)影响的产品范围为:泛微e-cology OA系统JSP版本。
三、漏洞处置建议
目前,泛微官方已发布补丁以修复漏洞,建议用户立即升级至最新版本:
https://www.weaver.com.cn/cs/securityDownload.asp
另CNVD官网针对SQL注入漏洞提供了以下可采取的临时防护措施:
1. 使用参数检查的方式,拦截带有SQL语法的参数传入应用程序;
2. 使用预编译的处理方式处理拼接了用户参数的SQL语句;
3. 在参数即将进入数据库执行之前,对SQL语句的语义进行完整性检查,确认语义没有发生变化;
4. 在出现SQL注入漏洞时,要在出现问题的参数拼接进SQL语句前进行过滤或者校验,不要依赖程序最开始处防护代码;
5. 定期审计数据库执行日志,查看是否存在应用程序正常逻辑之外的SQL 语句执行。
请各单位高度重视,严格贯彻落实《党委(党组)网络安全工作责任制》要求,加强风险排查和安全防护工作,如发生重大网络安全事件及时上报区委网信办。
联系电话:23894861
联系人:安青
西青区委网信办
2019年10月23日
