一、概要

近日，華為云安全團(tuán)隊(duì)關(guān)注到國(guó)內(nèi)知名的協(xié)同管理軟件泛微e-cology OA系統(tǒng)被爆存在兩處高危漏洞（遠(yuǎn)程代碼執(zhí)行漏洞、SQL注入漏洞）。攻擊者利用漏洞可實(shí)現(xiàn)遠(yuǎn)程任意代碼執(zhí)行；構(gòu)造SQL語(yǔ)句并執(zhí)行，獲取數(shù)據(jù)庫(kù)敏感信息。目前互聯(lián)網(wǎng)上已有該兩處漏洞的利用方式，風(fēng)險(xiǎn)高。

參考鏈接：

https://cert.#/warning/detail?id=2552c2113db457e05bd06827b6c3fb51

https://www.cnvd.org.cn/webinfo/show/5235?spm=a2c4g.11174386.n2.3.4cf61051H7pZpt

二、威脅級(jí)別

威脅級(jí)別：【嚴(yán)重】

（說(shuō)明：威脅級(jí)別共四級(jí)：一般、重要、嚴(yán)重、緊急）

三、影響范圍

遠(yuǎn)程代碼執(zhí)行漏洞影響以下版本：

泛微e-cology <= 9.0

SQL注入漏洞影響以下版本：

泛微e-cology OA系統(tǒng) JSP版本

四、處置方案

目前官方已發(fā)布補(bǔ)丁修復(fù)了這兩處漏洞，請(qǐng)使用泛微e-cology OA系統(tǒng)的用戶及時(shí)下載修復(fù)。

補(bǔ)丁下載地址：https://www.weaver.com.cn/cs/securityDownload.asp

華為云WAF默認(rèn)支持對(duì)高危命令的攔截和SQL注入檢測(cè)：

配置精準(zhǔn)防護(hù)規(guī)則，攔截路徑中包含“/weaver/bsh.servlet.BshServlet”的請(qǐng)求可實(shí)現(xiàn)對(duì)該遠(yuǎn)程代碼執(zhí)行漏洞的安全防護(hù)。

詳細(xì)配置方法參考：https://support.huaweicloud.com/usermanual-waf/waf_01_0010.html

用戶開(kāi)啟攔截模式后即可實(shí)現(xiàn)SQL注入的安全防護(hù)。

配置方法參考：https://support.huaweicloud.com/usermanual-waf/waf_01_0008.html

注：修復(fù)漏洞前請(qǐng)將資料備份，并進(jìn)行充分測(cè)試。