泛微OA e-cology 数据库接口信息泄露

漏洞信息

攻击者可通过存在漏洞的页面直接获取到数据库配置信息。如果攻击者可直接访问数据库,则可直接获取用户数据,甚至可以直接控制数据库服务器;会将当前连接数据库的用户名密码,url,logintype等信息进行des加密,并最终进行返回,可以直接通过des解密获取泄露信息。

本人遇见的情况是可以读取数据库用户名密码

poc

漏洞存在于/mobile/DBconfigReader.jsp

访问该页面会出现DES加密后的乱码,这个页面会将当前连接数据库的用户名密码,url,logintype等信息进行des加密,并最终进行回显到页面,如果用的是默认解密密钥可以直接通过des解密获取泄露信息。

默认解密密钥为:1z2x3c4v5b6n

修复建议

目前泛微官方发布了该漏洞的修补包,可以在官方安全补丁下载地址进行下载更新。

下载地址:

同时推荐用户采取以下安全措施进行进一步防护:

1、限制访问数据库的IP,如果可以的话禁止数据库远程连接。

2、及时安装补丁来修复漏洞,建议企业用户关注泛微官网发布的漏洞修复通知。

3、如果存在此漏洞,修复漏洞后应及时修改数据库账号密码。

参考文章

标签:数据库,OA,漏洞,https,cology,com,泛微

来源: https://www.cnblogs.com/Zh1z3ven/p/13836965.html

泛微oa连接mysql,泛微OA e-cology 数据库接口信息泄露学习相关推荐

  1. 泛微oa安装mysql,泛微OA某接口无需登录可执行任意SQL语句(附脚本) | CN-SEC 中文网...

    先以本地为例 http://localhost:8088/ws code 区域 http://localhost:8088/ws/query?wsdl 竟然提示 code 区域 Unmarshalli ...

  2. 连接mysql报zone时区错误

    连接mysql报zone时区错误 报错信息: The server time zone value 'Öйú±ê׼ʱ¼ä' is unrecognized or represents more ...

  3. Linux下连接Mysql服务器的方式

    一:mysql连接简介 1.linux下mysql的连接方式有三种: 本地mysql命令连接 客户端命令连接 脚本语言封装方法连接 2.linux下mysql的连接方法有两种: TCP/IP协议连接 ...

  4. 用python连接数据库_用Python连接MySQL

    MySQL是当下最流行的关系型数据库管理系统之一,在用Python爬取网络数据的过程中也经常需要用到MySQL,Python中pymysql库提供了连接MySQL的接口,为Python连接和操作MyS ...

  5. pymysql连接mysql数据库try_pymysql 连接数据库和基本使用

    pymysql 连接mysql数据库import pymysql.cursors # 连接数据库配置信息 connection = pymysql.connect(host='localhost', ...

  6. 在linux中连接mysql数据库服务器_Linux下连接Mysql服务器的方式

    一:mysql连接简介 1.linux下mysql的连接方式有三种: 本地mysql命令连接 客户端命令连接 脚本语言封装方法连接 2.linux下mysql的连接方法有两种: TCP/IP协议连接 ...

  7. 连接mysql报错 errorCode 1129, state HY000, Host ‘xxx‘ is blocked because of many connection errors

    springcloud项目启动连接mysql过程中报错. 报错关键信息如下: java.sql.SQLException: null, message from server: "Host ...

  8. mysql max pool_asp.net连接mysql得到错误all pooled connections were in use and max pool size was reach...

    asp.net连接mysql数据库时,得到以下错误信息 MySql.Data.MySqlClient.MySqlException (0×80004005): error connecting: Ti ...

  9. 泛微数据连接配置路径

    泛微数据连接配置文件的路径在项目的WEB-INF/prop下的weaver.properties中

  10. 泛微 E-cology V9 信息泄露漏洞

    漏洞描述 i ⭐泛微OA E-Cology信息泄露 API接口漏洞只针对e-cology v9.0版本才有用,JS文件中有一个API接口 漏洞影响 s ✅E-cology = 9.0 空间测绘 d ⭕ ...

最新文章

  1. yii2的model数据库配置以及应用(主从数据库配置)
  2. 博客园 noteless 全部文章 目录索引
  3. 11粘土人脖卡面撑怎么用_零失败的神仙夏日卤味!用电饭煲就能做!配小酒可升仙!...
  4. IBASE and ES change pointer
  5. rk3128屏幕占空比参数设置_瑞芯微RK3128芯片怎么样 性能全面解读
  6. NGINX内部:我们如何设计性能和规模
  7. windows安装mysql修改密码_1、Windows下安装mysql-8.0.12及修改初始密码
  8. Windows程序设计的第一个实例
  9. RENIX软件OSPF和BFD、ISIS和BFD联动测试——网络测试仪实操
  10. 【黑马程序员数据库】数据库基础大总结
  11. phpstudy、Apache安装DVWA教程
  12. kpw4换壁纸_发挥全部潜能,Kindle越狱指南
  13. 加粉软件直接把你的银行卡信息给泄露了
  14. python pywifi 破解wifi密码
  15. 计算机函数两个表格找相同,wps筛选出两个表格中的重复项(countif 函数简单使用)【已解决】...
  16. Jedis scan及其count的值
  17. VS开发Application生硬古怪的问题及原因汇总
  18. Spring源码分析系列——bean创建过程分析(三)——工厂方法创建bean
  19. 继美团重申严禁诱导强迫骑手注册成个体工商户后,饿了么也回应了
  20. 二、jQuery 选择器(超细)

热门文章

  1. 谷歌和火狐FirePath下载
  2. 分布式系统的一些基本概念
  3. TransE,知识图谱嵌入(KGE)论文精读
  4. 傲腾内存安装问题分享
  5. mcgs组态软件中字体如果从左到右变化_MCGS脚本程序 -
  6. MVPArms官方快速组件化方案开源,来自5K star的信赖
  7. 小巧单据打印管理软件
  8. OpenCL编程入门(一)
  9. android快牙原理,快牙的使用原理是什么_快牙怎么使用_3DM手游
  10. 【问题解决】nuget 打包 Unable to find “****.nupkg”.make sure the project has been built. 问题参考