-赛博昆仑漏洞安全通告-
漏洞描述
近日,赛博昆仑CERT监测到泛微官方发布了 v10.71_1 补丁版本。未经授权的远程攻击者可通过发送特殊的HTTP请求来造成SQL注入漏洞,最终可导致攻击者获取数据库中的敏感信息。
漏洞名称 | 泛微 e-cology前台SQL注入漏洞 | ||
漏洞公开编号 | 暂无 | ||
昆仑漏洞库编号 | CYKL-2024-028619 | ||
漏洞类型 | SQL注入 | 公开时间 | 2024-12-02 |
漏洞等级 | 高危 | 评分 | 7.5 |
漏洞所需权限 | 无权限要求 | 漏洞利用难度 | 低 |
PoC状态 | 未知 | EXP状态 | 未知 |
漏洞细节 | 未知 | 在野利用 | 未知 |
目前赛博昆仑CERT已确认漏洞原理,复现截图如下:
使用延时5秒的poc进行验证。
目前,官方已发布修复建议,建议受影响的用户尽快升级至安全版本。
下载地址:https://www.weaver.com.cn/cs/securityDownload.html#
技术业务咨询
赛博昆仑CERT已开启年订阅服务,付费客户(可申请试用)将获取更多技术详情,并支持适配客户的需求。
参考链接
https://www.weaver.com.cn/cs/securityDownload.html#