报告编号：B6-2019-101101

报告来源：360-CERT

报告作者：360-CERT

更新日期：2019-10-11

0x00 漏洞背景

2019年10月10日，360CERT监测到2019年10月10日CNVD发布了泛微e-cology OA系统存在SQL注入漏洞，漏洞等级严重。

泛微e-cology OA系统的WorkflowCenterTreeData接口在使用Oracle数据库时,由于内置SQL语句拼接不严,导致泛微e-cology OA系统存在SQL注入漏洞。攻击者利用该漏洞，可在未授权的情况下，远程发送精心构造的SQL语句，从而获取数据库敏感信息。

360CERT判断漏洞等级为高危，危害面一般。建议使用泛微e-cology OA的用户及时安装最新补丁，以免遭受黑客攻击。

0x01 影响版本

泛微e-cology OA系统 JSP版

目前，泛微OA官方暂未发布补丁，已经存在该0day的利用方式。

0x02 修复建议

目前泛微官方发布了该漏洞的修补包，可以在官方安全补丁下载地址进行下载更新。

如果没有办法及时安装漏洞修补包，则可以通过下面的临时修补措施进行修补：

1. 使用参数检查的方式，拦截带有SQL语法的参数传入应用程序；
2. 使用预编译的处理方式处理拼接了用户参数的SQL语句；
3. 在参数即将进入数据库执行之前，对SQL语句的语义进行完整性检查，确认语义没有发生变化；
4. 在出现SQL注入漏洞时，要在出现问题的参数拼接进SQL语句前进行过滤或者校验，不要依赖程序最开始处防护代码；
5. 定期审计数据库执行日志，查看是否存在应用程序正常逻辑之外的SQL 语句执行；

0x03 时间线

2019-10-10 CNVD发布了泛微e-cology OA系统存在SQL注入漏洞的预警

2019-10-10 360CERT发布首次预警

2019-10-11 泛微e-cology OA官方发布安全补丁

2019-10-11 360CERT更新预警信息

0x04 参考链接

1. 关于泛微e-cology OA系统存在SQL注入漏洞的安全公告
2. 官方安全补丁下载地址