泛微e-cology OA系统 validate.jsp 前台SQL注入漏洞

2019年10月18日,阿里云应急响应中心捕获泛微e-cology OA系统前台SQL注入漏洞攻击方式。攻击者通过构造特定的HTTP请求,成功运用漏洞可在目标服务器上执行SQL语句,可致使脱库,风险较大。

漏洞描述

泛微e-cology OA系统的validate.jsp文件中,因为对参数capitalid过滤不严,可致使SQL注入漏洞。攻击者运用该漏洞,可m / ^ ? , / R在未授权的情4 8 ,况下,远i e @ F程发送精心构造的SQL语...

阅读全文