SecEvery - Vulnerability Warning
2024-07-12
泛微协同管理应用平台(e\-cology)是一套兼具企业信息门户、知识管理、数据中心、工作流管理、人力资源管理、客户与合作伙伴管理、项目管理、财务管理、资产管理功能的协同商务平台。 泛微e\-cology 9 10.64.1之前版本存在存在 远程命令执行漏洞,该漏洞源于未对用户的输入进行有效的过滤,直接将其拼接进了SQL查询语句中,导致系统出现 SQL 注入漏洞 ,攻击者可以通过SQL注入配合数据库功能实现远程任意命令执行,获取服务器权限。
2024-07-12
泛微 e\-cology 是泛微公司开发的协同管理应用平台。 泛微 e\-cology v10.64.1在2024\-07\-10补丁之前版本存在SQL注入漏洞,/services/接口默认对内网暴露,用于服务调用,未经身份认证的攻击者可向 /services/WorkflowServiceXml 接口发送恶意的SOAP请求进行SQL注入,获取系统数据并进一步接管系统。
2024-07-13
Apache Linkis 是面向大数据和人工智能应用的开源治理平台。 受影响版本中,由于 DataSource Manager 模块未对用户可控的 DB2 参数有效过滤,经过身份验证的攻击者可构造恶意的 DB2 参数进行JNDI注入攻击,在目标系统远程执行任意代码。