2019年10月,白帽汇安全研究院观测外网出现泛微办公软件的SQL注入漏洞,攻击者可在未经身份验证的情况下进行攻击,获得系统敏感数据。该漏洞目前属于0day,所有使用了Oracle数据库的泛微网站都有可能受到影响,且利用难度低,危害大(可获取密码等敏感信息),预计会对泛微的主要服务地区——中国市场产生一定冲击。
该漏洞是由于OA系统的WorkflowCenterTreeData
接口中涉及Oracle数据库的SQL语句缺乏安全检查措施所导致的,任意攻击者都可借SQL语句拼接时机注入恶意payload,造成SQL注入攻击。目前官方尚未发布漏洞补丁,所有使用了Oracle数据库的泛微网站都有可能受到影响,请相关网站管理人员在官方发布补丁前及时下线网站。
概况
目前FOFA系统最新数据(一年内数据)显示全球范围内共有10266个泛微服务(基于jsp语言)。中国大陆使用数量最多,共有10166个,中国香港第二,共有51个,美国第三,共有15个,新加坡第四,共有11个,英国第五,共有4个。
全球范围内泛微服务分布情况如下(仅为分布情况,非漏洞影响情况)。
中国大陆地区广东省使用数量最多&#