泛微OA WorkflowCenterTreeData接口注入漏洞(Oracle数据库)

2019年10月11日12:04:03 1

泛微OA WorkflowCenterTreeData接口注入漏洞(Oracle数据库)

0x01 漏洞描述

泛微e-cology OA系统的WorkflowCenterTreeData接口在使用oracle数据库时,由于内置sql语句拼接不严,导致其存在sql注入漏洞

0x02 漏洞威胁等级

高危

影响范围

所有使用Oracle数据库的泛微服务

0x03 漏洞成因

泛微e-cology OA系统的WorkflowCenterTreeData接口在使用oracle数据库时,由于内置sql语句拼接不严,导致其存在sql注入

0x04 漏洞复现

Payload:

部分内容被隐藏
评论刷新后查看

修改NULL后为要查询的字段名,修改from后为查询的表

0x05 修复建议

等待泛微官方进行修复

0x06 免责申明

本文中提到的漏洞利用Poc和脚本仅供研究学习使用,请遵守《网络安全法》等相关法律法规。

发表评论

后发表评论

目前评论:1   其中:会员  1   官方  0

    • avatar rebornli 1

      好好学习