报告编号：B6-2019-102501

报告来源：360-CERT

报告作者：360-CERT

更新日期：2019-10-25

0x00 漏洞背景

2019年10月24日，360CERT监测到友商发布了泛微e-cology OA数据库配置信息泄漏漏洞预警，漏洞等级中。

攻击者可通过存在漏洞的页面直接获取到数据库配置信息。如果攻击者可直接访问数据库，则可直接获取用户数据，甚至可以直接控制数据库服务器。

360CERT判断漏洞等级为中，危害面/影响面低。建议使用泛微e-cology OA的用户及时安装最新补丁，以免遭受黑客攻击。

0x01 漏洞详情

漏洞的所在文件为/mobile/DBconfigReader.jsp：

可以看到会将当前连接数据库的用户名密码，url，logintype等信息进行des加密，并最终进行返回，可以直接通过des解密获取泄露信息。

0x02 影响版本

包括不限于8.0、9.0版本

0x03 修复建议

目前泛微官方发布了该漏洞的修补包，可以在官方安全补丁下载地址进行下载更新。

同时推荐用户采取以下安全措施进行进一步防护：

1. 限制访问数据库的IP，如果可以的话禁止数据库远程连接。
2. 及时安装补丁来修复漏洞，建议企业用户关注泛微官网发布的漏洞修复通知。
3. 如果存在此漏洞，修复漏洞后应及时修改数据库账号密码。

0x04 时间线

2019-10-24 友商发布预警信息

2019-10-24 360CERT发布预警

2019-10-25 泛微官方发布安全补丁

2019-10-25 360CERT更新预警信息

0x05 参考链接

1. 友商预警信息
2. 泛微官方补丁