【安全通报】泛微 E-Office SQL注入漏洞（CNVD-2022-43246）

近日，CNVD 官方发布了泛微 E-Office SQL注入漏洞，泛微网络官方已发布修复补丁，请广大用户及时下载更新。

漏洞描述

泛微 E-Office 是一款标准化的协同 OA 办公软件，实行通用化产品设计，充分贴合企业管理需求，本着简洁易用、高效智能的原则，为企业快速打造移动化、无纸化、数字化的办公平台。

CNVD-2022-43246

上海泛微网络科技股份有限公司 E-office v9.0 141103 版本存在SQL注入漏洞，攻击者可利用漏洞获取数据库敏感信息。

该漏洞CVSS评分：7.8，危害等级：高危

漏洞编号

CNVD-2022-43246

FOFA 查询

app="泛微-EOffice"

影响范围

E-office v9.0 141103

根据目前FOFA系统最新数据（一年内数据），显示全球范围内（app="泛微-EOffice"）共有 13,032 个相关服务对外开放。中国使用数量最多，共有 12,986 个；美国第二，共有 16 个；中国香港特别行政区第三，共有 13 个；中国澳门特别行政区第四，共有 2 个；泰国第五，共有 1 个。

全球范围内分布情况如下（仅为分布情况，非漏洞影响情况）

中国大陆地区广东使用数量最多，共有 2,235 个；福建第二，共有 1,611 个；浙江第三，共有 1,331 个；江苏第四，共有 819 个；北京第五，共有 774 个。

漏洞复现

白帽汇漏洞研究院已通过漏洞复现确认该漏洞存在。

修复建议

参考漏洞影响范围，目前上海泛微网络科技股份有限公司已发布漏洞修复方案，请访问官方网站及时更新：https://www.weaver.com.cn/

参考

[1] https://www.cnvd.org.cn/flaw/show/CNVD-2022-43246

白帽汇安全研究院从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。