99久久国产综合精品国_亚洲av日韩aⅴ电影_午夜福利在线电影_亚洲aⅤ色欲久久一区二区三区_91九色蝌蚪国产精品_亚洲av无码乱码在线观看四虎_4国产精品无码制服丝袜_亚洲Av成人五月天在线观看_牛牛成人永久免费视频_午夜福利在线资源

漏洞描述

泛微專注于協(xié)同管理OA軟件領(lǐng)域，并致力于以協(xié)同OA為核心，幫助企業(yè)構(gòu)建全新的移動(dòng)辦公平臺(tái)。作為協(xié)同管理軟件行業(yè)的實(shí)力企業(yè)，泛微有業(yè)界優(yōu)秀的協(xié)同管理軟件產(chǎn)品。在企業(yè)級(jí)移動(dòng)互聯(lián)大潮下，泛微發(fā)布了全新的以“移動(dòng)化、社交化、平臺(tái)化、云端化”四化為核心的全一代產(chǎn)品系列，包括面向大中型企業(yè)的平臺(tái)型產(chǎn)品e-cology、面向中小型企業(yè)的應(yīng)用型產(chǎn)品e-office、面向小微型企業(yè)的云辦公產(chǎn)品eteams，以及幫助企業(yè)對(duì)接移動(dòng)互聯(lián)的移動(dòng)辦公平臺(tái)e-mobile和幫助快速對(duì)接微信、釘釘?shù)绕脚_(tái)的移動(dòng)集成平臺(tái)等等。

泛微e-cologyOA系統(tǒng)的WorkflowCenterTreeData接口在使用Oracle數(shù)據(jù)庫(kù)時(shí),由于內(nèi)置SQL語(yǔ)句拼接不嚴(yán),導(dǎo)致泛微e-cology OA系統(tǒng)存在SQL注入漏洞。

漏洞編號(hào)

CNVD-2019-34241

漏洞危害

攻擊者利用該漏洞，可在未授權(quán)的情況下，遠(yuǎn)程發(fā)送精心構(gòu)造的SQL語(yǔ)句，從而獲取數(shù)據(jù)庫(kù)敏感信息。

漏洞等級(jí)

高危
受影響版本

泛微e-cology OA系統(tǒng) JSP版本。

修復(fù)方案

1、目前泛微官方發(fā)布了該漏洞的修補(bǔ)包，可以在官方安全補(bǔ)丁下載地址進(jìn)行下載更新。

2、如果沒(méi)有辦法及時(shí)安裝漏洞修補(bǔ)包，則可以通過(guò)下面的臨時(shí)修補(bǔ)措施進(jìn)行修補(bǔ)：

• 使用參數(shù)檢查的方式，攔截帶有SQL語(yǔ)法的參數(shù)傳入應(yīng)用程序；
• 使用預(yù)編譯的處理方式處理拼接了用戶參數(shù)的SQL語(yǔ)句；
• 在參數(shù)即將進(jìn)入數(shù)據(jù)庫(kù)執(zhí)行之前，對(duì)SQL語(yǔ)句的語(yǔ)義進(jìn)行完整性檢查，確認(rèn)語(yǔ)義沒(méi)有發(fā)生變化；
• 在出現(xiàn)SQL注入漏洞時(shí)，要在出現(xiàn)問(wèn)題的參數(shù)拼接進(jìn)SQL語(yǔ)句前進(jìn)行過(guò)濾或者校驗(yàn)，不要依賴程序最開始處防護(hù)代碼；
• 定期審計(jì)數(shù)據(jù)庫(kù)執(zhí)行日志，查看是否存在應(yīng)用程序正常邏輯之外的SQL 語(yǔ)句執(zhí)行。

參考鏈接

https://www.weaver.com.cn/cs/securityDownload.asp