【漏洞复现】泛微E-Cology WorkflowServiceXml SQL注入漏洞

于 2024-07-22 10:37:29 发布
阅读量7 收藏
点赞数
分类专栏: 网络安全 web安全 渗透测试 漏洞复现 文章标签: sql 数据库 渗透测试 漏洞复现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010025272/article/details/140603146
版权

漏洞描述

泛微E-Cology WorkflowServiceXml SQL注入漏洞
泛微E-Cology 是一款协同管理平台,旨在为中大型组织创建全新的高效协同办公环境。身份认证、电子签名、电子签章、数据存证让合同全程数字化。包含流程、门户、知识、人事、沟通、客户、项目、财务等 20多个功能模块。该系统WorkflowServiceXml接口处未对用户输入进行有效过滤,直接将其拼接进了SQL语句中,导致SQL注入漏洞,会导致数据泄露。
在这里插入图片描述

免责声明

技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!

漏洞集合

【传送点】上千漏洞复现复现集合 exp poc 持续更新

资产确定

app="泛微-OA(e-cology)"
了解本专栏 订阅专栏 解锁全文 超级会员免费看
丢了少年失了心1
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
泛微E-Cology WorkflowServiceXml SQL注入漏洞复现(QVD-2024-26136)
0xSec
07-12 1232
2024年7月,泛微官方发布了新补丁,修复了一处SQL注入漏洞。经分析,攻击者无需认证即可利用该漏洞,建议受影响的客户尽快修复漏洞
漏洞预警】泛微E-cology OA系统SQL注入漏洞
NOSEC2019的博客
10-10 2844
2019年10月,白帽汇安全研究院观测外网出现泛微办公软件的SQL注入漏洞,攻击者可在未经身份验证的情况下进行攻击,获得系统敏感数据。该漏洞目前属于0day,所有使用了Oracle数据库泛微网站都有可能受到影响,且利用难度低,危害大(可获取密码等敏感信息),预计会对泛微的主要服务地区——中国市场产生一定冲击。 该漏洞是由于OA系统的WorkflowCenterTreeData接口中涉及Orac...
漏洞复现泛微e-cology9 WorkflowServiceXml SQL注入漏洞
今天是几号的博客
07-15 712
泛微协同管理应用平台e-cology是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。漏洞名称泛微e-cology9 WorkflowServiceXml SQL注入漏洞公开时间2024-07-10威胁类型命令执行。
泛微e-cology9 SQL注入漏洞复现(QVD-2023-5012)
heike_Ch的博客
05-10 1057
泛微协同管理应用平台e-cology是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。泛微e-cology9中存在SQL注入漏洞,未经身份认证的远程攻击者即可利用此漏洞获取数据库敏感信息,进一步利用可能导致目标系统被控。
泛微E-Cology SQL注入漏洞复现(QVD-2023-15672)
huangyongkang666的博客
11-27 892
泛微E-Cology SQL注入漏洞复现(QVD-2023-15672)weaverweaver.file.FileDownloadForOutDoc
泛微e-cology9 SQL注入漏洞复现【QVD-2023-5012】
holyxp的博客
07-22 733
泛微协同管理应用平台e-cology是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。​ 泛微e-cology9中存在SQL注入漏洞,未经身份认证的远程攻击者即可利用此漏洞获取数据库敏感信息,进一步利用可能导致目标系统被控。
泛微e-cology WorkflowServiceXml SQL注入漏洞(POC)
m0_62584974的博客
07-16 655
泛微 e-cology v10.64.1的/services/接口默认对内网暴露,用于服务调用,未经身份认证的攻击者可向 /services/WorkflowServiceXml 接口发送恶意的SOAP请求进行SQL注入,攻击者通过漏洞可以获取服务器数据库敏感信息。分析:基于当前情报,漏洞可能被用于攻击e-Cology WorkflowServiceXml系统,建议更新系统补丁、加强输入验证和限制访问权限。更新e-Cology WorkflowServiceXml系统到最新版本。
漏洞复现】E-Cology OA——WorkflowServiceXml——SQL注入
最新发布
LongL_GuYu的博客
07-20 261
E-Cology OA协同商务系统是一款面向中大型组织的数字化办公产品,它基于全新的设计理念和管理思想,旨在为中大型组织创建一个全新的高效协同办公环境。其WorkflowServiceXml接口存在sql注入,恶意攻击者可能会向数据库发送构造的恶意SQL查询语句,以获取数据库敏感信息、修改数据或者执行其他恶意操作,还有可能直接通过sql注入获取服务器权限。
漏洞复现泛微E-Cology WorkflowServiceXml SQL注入漏洞(QVD-2024-26136)
qq_39894062的博客
07-18 297
请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责!!!
泛微E-cology8管理员后端维护手册全套
09-30
泛微E-cology8是一款企业级的协同办公自动化(OA)系统,专为现代企业管理设计,提供全面的后端维护支持。这套“泛微E-cology8管理员后端维护手册全套”涵盖了OA系统中所有后端模块的详细操作和维护指南,旨在帮助...
x微E-Cology WorkflowServiceXml RCE1
08-03
x微E-Cology WorkflowServiceXml RCEx 微 E-Cology WorkflowServiceXml RCEx 微 E-Cology
泛微E-cology9.0(EC9)官方前台全套操作手册
09-29
泛微E-cology9.0(EC9)是一款先进的企业协同办公系统,专为提升企业工作效率而设计。这个官方前台操作手册包含了全面的用户指南,帮助操作人员熟练掌握系统的各项功能和应用。以下是对手册中可能涉及的主要知识点的...
泛微E-cology 二次开发Java Jar包
08-13
泛微E-cology是一款国内知名的协同办公自动化系统,主要用于企业信息化建设,提升工作效率。它的二次开发功能使得用户可以根据自身需求定制化系统,扩展其功能。本文将深入探讨“泛微E-cology 二次开发Java Jar包”...
(泛微e-cology7.0)数据库表结构设计文档
11-05
泛微e-cology7.0数据库表结构设计文档 泛微e-cology7.0数据库表结构设计文档是泛微网络有限公司开发的OA系统的数据库设计文档。该文档对泛微e-cology7.0系统中的所有表结构进行了详细的设计和描述。 一、基础表 ...
泛微E-cology8.0后台维护手册-PDF版.zip
02-09
泛微E-cology8.0后台维护手册-PDF版: 泛微协同办公平台E-cology8.0版本后台维护手册(0)--组织权限中心 泛微协同办公平台E-cology8.0版本后台维护手册(1)--流程引擎 泛微协同办公平台E-cology8.0版本后台维护手册...
泛微E-cology9.0(EC9)官方后台全套操作手册
09-29
泛微E-cology9.0(EC9)官方后台全套操作手册,包含20几个文档,WORD格式。注意这是操作手册,不是二次开发手册。适合系统操作人员阅读。
泛微E-cology8前端用户使用手册.rar
06-13
泛微E-cology8是一款企业级协同办公软件,它的前端用户使用手册是为帮助用户更好地理解和操作该系统而设计的。手册涵盖了泛微平台下的17个主要模块,旨在提供全面、详细的使用指南,帮助用户提高工作效率,实现企业...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

丢了少年失了心1

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值