0x01 产品简介
盘维e-cology是盘维网络科技研发的协同管理平台,支持人力资源、财务、行政等多功能管理以及移动办公。
0x02 漏洞概述
2024年7月,盘威官方发布新补丁修复SQL注入漏洞。经分析,攻击者无需身份验证即可利用该漏洞。我们鼓励受影响的客户尽快修复此漏洞。
漏洞原因
该漏洞是由于盘维生态没有有效过滤用户输入并直接连接SQL查询语句,造成系统中的SQL注入漏洞。
漏洞的影响
攻击者可以利用此漏洞获取敏感信息,并进一步利用该漏洞来访问目标系统。
0x03 影响范围
磐威生态9 10.65.0
0x04 复现环境
FOFA: app=\’泛微-OA(电子)\’
0x05漏洞复现
示范实验
POST /services/WorkPlanService HTTP/1.1
主机:
User-Agent: Mozilla/5.0(Windows NT 10.0;Win64;x64) AppleWebKit/537.36(KHTML、Gecko 等) Chrome/124.0.6367.118 Safari/53
以上关于#潘微E的相关内容摘自网络,仅供参考。相关信息请参见官方公告。
原创文章,作者:CSDN,如若转载,请注明出处:https://www.sudun.com/ask/94045.html
