Описание уязвимости
Платформа приложений для совместного управления Pan-micro (e-cology) — это крупномасштабная платформа для совместного управления для предприятий.
В версиях 10.58.0 и более ранних злоумышленники, не прошедшие проверку подлинности, могут получить произвольные данные в базе данных целевой системы с помощью SQL-инъекции, а затем получить системные привилегии. Уязвимость Poc обнародована, рекомендуется как можно скорее обновить патч: hxxps://www.weaver.com.cn/cs/securityDownload.asp#.
| Название уязвимости | Уязвимость модуля Fanwei E-Cology FileDownloadForOutDoc, связанная с SQL-инъекцией |
|---|---|
| Тип уязвимости | SQL-инъекция |
| Время открытия | 2023/7/10 |
| Широта уязвимости | широкий |
| номер MPS | МПС-0озд-вреб |
| CVE-номер | CVE-2023-3793 |
| номер ЦНВД | - |
Сфера влияния
Электронная Кология Фаньвэй@(-∞, 10.58.0]
План ремонта
Выпущен официальный патч: https://www.weaver.com.cn/cs/securityDownload.asp
справочная ссылка
https://www.oscs1024.com/hd/MPS-0ozd-vreb
https://www.weaver.com.cn/cs/securityDownload.asp
https://www.cnblogs.com/yysfa/p/17542449.html
О Мерфи Секьюрити
Murphy Security — это технологическая компания, которая предоставляет вам профессиональное управление безопасностью цепочки поставок программного обеспечения.Основная команда состоит из Baidu, Huawei, Wuyun и других предприятий.Компания предоставляет клиентам полную платформу управления безопасностью цепочки поставок программного обеспечения, а также программное обеспечение с полный жизненный цикл вокруг управления безопасностью SBOM, возможности платформы включают анализ компонентов программного обеспечения, управление безопасностью источника, обнаружение образов контейнеров, раннее предупреждение об уязвимостях и оценку доступа к цепочке поставок коммерческого программного обеспечения и другие продукты. Предоставьте клиентам полные возможности контроля от управления идентификацией активов цепочки поставок, обнаружения рисков, контроля безопасности и ремонта одним ключом.
Проект с открытым исходным кодом: https://github.com/murphysecurity/murphysec/?sf=qbyj
Продукт можно интегрировать с различными инструментами в существующий процесс разработки по очень низкой цене, включая бесшовную интеграцию с десятками инструментов, таких как IDE, Gitlab, Bitbucket, Jenkins, Harbour и Nexus.
Бесплатное средство обнаружения безопасности кода: https://www.murphysec.com/?sf=qbyj
Бесплатная подписка на разведку: https://www.oscs1024.com/cm/?sf=qbyj
