漏洞描述
2023年5月16日公司监测到泛微官方发布安全补丁,修复了一个绕过认证漏洞。泛微E-Cology9系统是一套基于JSP及SQL Server数据库的OA系统,广泛应用于各个行业。该漏洞是由于泛微E-Cology9存在一个信息泄露接口,攻击者在未授权的情况下,可利用该接口获取系统已注册的用户。此外,由于泛微E-Cology9使用了不安全的算法设计,攻击者可以利用获取到的用户名构造恶意数据,模拟任意用户登录后台。
漏洞危害
由于系统使用了不当的算法设计,攻击者可以模拟任意用户来登录系统,无需认证和鉴权即可实现获取用户数据和登录后台。
漏洞等级
高危
影响范围:
Cology9 < 10.57.1
修复方案
当前官方已发布受影响版本的对应补丁,建议受影响的用户及时更新官方的安全补丁。
链接如下:
https://www.weaver.com.cn/cs/securityDownload.asp