【CVE-2024-】泛微协同管理应用平台(e-cology)
漏洞概况
泛微协同管理应用平台(e-cology)是一套兼具企业信息门户、知识管理、数据中心、工作流管理、人力资源管理、客户与合作伙伴管理、项目管理、财务管理、资产管理功能的协同商务平台。
该漏洞可在默认配置下,利用堆叠注入进而执行任意命令,利用难度较低。
微步已捕获该漏洞的在野利用行为,建议受影响的用户尽快修复。
漏洞处置优先级(VPT)
综合处置优先级:高
| 基本信息 | 漏洞编号 | CVE-2024-0887 |
| 漏洞类型 | SQL to RCE | |
| 利用条件评估 | 利用漏洞的网络条件 | 远程 |
| 是否需要绕过安全机制 | 不需要 | |
| 对被攻击系统的要求 | 默认配置 | |
| 利用漏洞的权限要求 | 无需任何权限 | |
| 是否需要受害者配合 | 不需要 |
漏洞影响范围
| 产品名称 | 上海泛微网络科技股份有限公-e-cology9 |
| 受影响版本 | version < v10.64.1 |
| 影响范围 | 万级 |
| 有无修复补丁 | 有 |
漏洞复现
修复方案
官方修复方案:
厂商已发布漏洞修复程序,请尽快前往官网(https://www.weaver.com.cn/cs/securityDownload.html)下载更新至10.64.1及以上版本。
临时修复方案:
-
使用防护类设备对相关资产进行防护,拦截请求中出现的恶意SQL语句
-
如非必要,避免将资产暴露在互联网