【安全预警】泛微 e-cology OA 数据库配置信息泄漏漏洞预警

【安全预警】泛微 e-cology OA 数据库配置信息泄漏漏洞预警

TCSA-2019-0041

泛微e-cology_OA数据库配置信息泄漏漏洞预警_(TCSA-2019-0041)

情报概览

类型 介绍
风险等级 高危
CVSS 评分 N/A
CVE 编号 N/A
情报概述 近日,腾讯云安全中心监测发现办公协作系统泛微 e-cology OA 被曝存在数据库配置信息泄漏漏洞,如攻击者可直接访问数据库,则可直接获取用户数据,甚至可以直接控制数据库服务器
情报类型 认证信息泄露
收录时间 2019-10-24 16:44:45

情报详情

腾讯电脑管家安全研究团队发现,国内知名协同办公系统泛微 e-cology OA 某页面存在数据库配置信息泄漏,如攻击者可直接访问数据库,则可通过泄露的信息轻松获取数据,甚至远程控制数据库服务器。 根据腾讯安全御知网络资产风险监测系统(简称:腾讯御知)监测的数据,该漏洞影响上万台暴露在公网的计算机,这些主机主要分布在中国大陆、中国香港以及美国、新加坡等地,因而影响较广。

影响版本

包括但不限于 E-cology OA V8、V9 版本。

安全版本

该漏洞为 0day 漏洞,目前厂商暂未发布补丁。

检测方法

检查企业泛微 E-cology OA V8、V9 版本的数据库是否暴露到公网。

修复建议

该漏洞为 0day 漏洞,目前厂商暂未发布补丁,腾讯云安全团队建议您:

  1. 如非业务需要,禁止数据库暴露到公网,或通过安全组限制访问源 IP;
  2. 及时安装补丁修复漏洞,建议企业用户关注泛微官网发布的漏洞修复通知;
  3. 如存在此漏洞,修复漏洞后建议立即修改数据库账号密码,避免被外部攻击者利用;
  4. 企业用户可通过访问腾讯云免费产品企业专区 https://cloud.tencent.com/act/free?from=10107 -> 网络资产风险监测系统进行免费检测。

参考链接


   Reprint policy


《【安全预警】泛微 e-cology OA 数据库配置信息泄漏漏洞预警》 by Ryanjie is licensed under a Creative Commons Attribution 4.0 International License
  TOC