0x00 漏洞背景

2019年10月10日，360CERT監測到2019年10月10日CNVD發布了泛微e-cology OA系統存在SQL注入漏洞，漏洞等級嚴重。

泛微e-cology OA系統的WorkflowCenterTreeData接口在使用Oracle數據庫時,由于内置SQL語句拼接不嚴,導緻泛微e-cology OA系統存在SQL注入漏洞。攻擊者利用該漏洞，可在未授權的情況下，遠程發送精心構造的SQL語句，從而獲取數據庫敏感信息。

360CERT判斷漏洞等級為高危，危害面一般。目前，泛微OA官方暫未發布補丁，建議使用泛微e-cology OA用戶使用修複建議中的臨時修複方法進行自查，以免遭受黑客攻擊。

0x01 影響版本

泛微e-cology OA系統 JSP版

目前，泛微OA官方暫未發布補丁，已經存在該0day的利用方式。

0x02 修複建議

1. 使用參數檢查的方式，攔截帶有SQL語法的參數傳入應用程序；

2. 使用預編譯的處理方式處理拼接了用戶參數的SQL語句；

3. 在參數即将進入數據庫執行之前，對SQL語句的語義進行完整性檢查，确認語義沒有發生變化；

4. 在出現SQL注入漏洞時，要在出現問題的參數拼接進SQL語句前進行過濾或者校驗，不要依賴程序最開始處防護代碼；

5. 定期審計數據庫執行日志，查看是否存在應用程序正常邏輯之外的SQL 語句執行；

建議使用泛微e-cology OA系統構建網站的信息系統運營者進行自查，發現存在漏洞後，按照臨時解決方案及時進行修複。

0x03 時間線

2019-10-10 CNVD發布了泛微e-cology OA系統存在SQL注入漏洞的預警

2019-10-10 360CERT發布預警