【漏洞情报】九思协同办公系统存在SQL注入漏洞

科技   2024-12-02 22:37   北京  

漏洞描述:九思协同办公系统/jsoa/workflow/dwr/exec/workflowSync.getUserStatusByRole.dwr存在SQL注入漏洞,可利用该漏洞获取数据库中的敏感信息等,未经授权的攻击者可以通过该漏洞获取数据库敏感信息。

临时修复建议:
1、加强系统和网络的访问控制,修改防火墙策略,不将非必要服务暴露于公网;
2、如果目前无法升级,若业务环境允许,使用白名单限制应用服务端口的访问来降低风险;
3、定期对服务器上的网站后门文件进行及时查杀。

通用修复建议:
联系厂商,更新应用至安全版本。

飓风网络安全
专注网络安全,成立于2014年;专注于研究安全服务,黑客技术、0day漏洞、红蓝对抗、威胁情报、应用安全、主机安全,提供服务器网站安全解决方案,数据库安全、服务器安全运维。
 最新文章