泛微Ecology漏洞导致注册用户信息泄露

e-cology是一款全能的企业管理平台,它提供了多种功能,包括企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理和数据中心等。这个平台可以协助企业整合不同领域的资源,如市场、销售、研发、人事和行政等,使得用户可以在一个中心化平台上集成所有资源,并通过统一的界面轻松地操作和获取信息。

f2748beeb58a433f8e3916434c8985d0.jpg

漏洞描述:

该系统存在两个安全漏洞:信息泄露和任意用户登录漏洞。首先,系统未能对系统接口的响应进行适当的处理,导致已注册用户信息泄漏。攻击者可以利用此漏洞轻松获取用户数据,包括敏感信息等,并形成更广泛的攻击。其次,由于系统使用了不当的算法设计,攻击者可以模拟任意用户来登录系统,无需认证和鉴权即可实现获取用户数据和登录后台。

mobile/plugin/1/ofsLogin.jsp?syscode=syscode&timestamp=2&gopage=3&receiver=test&loginTokenFromThird=

640.png

受影响的版本:

泛微e-cology ec9部分版本,受此漏洞影响。

SINE安全建议使用泛微系统的企业,必须高度关注软件系统的安全性,并尽快安装漏洞修补程序,升级泛微到最新版本,以确保企业信息的安全。同时,企业也必须加强内部管理,加密敏感信息,制定合理的安全策略和措施,并定期进行安全检查和测试。这些措施可以有效地提高企业的信息安全水平,保护核心业务的利益。

分享:

相关推荐