Weaver Ecology 安全更新日志总结 漏洞概述 Weaver Ecology 系统(版本 10.57.1 - 10.79)存在多处安全漏洞,主要包括 SQL 注入、XSS 注入、越权访问、文件上传漏洞、逻辑漏洞等。部分漏洞涉及敏感信息泄露、权限绕过、未授权访问等高风险问题。 影响范围 受影响版本:Weaver Ecology 10.57.1 至 10.79 影响模块: - 工作流服务(WorkflowServiceXml) - 表单模块(E9表单建模、群组保存) - 资产模块(E9资产模块打印) - 门户登录(E8人员卡片) - 邮件附件下载 - 统一待办集成 - 移动建模扫码 - WebService接口调用 - 正文导出功能 - 数据库连接池 - 文件预览(docx文件) - 系统缓存 - 用户登录 - 安全防护异常 - 弱口令防护 - IP黑名单 - 恶意IP访问 修复方案 1. SQL注入漏洞(2024-07-18,v10.64.1) 漏洞描述:针对WorkflowServiceXml SQL注入漏洞升级了10.64.1补丁包后还测试出漏洞的情况。(该报说明:原因是POC使用1=1进行测试,为兼容业务系统放行了该写法,导致误报。) 修复建议: 升级至 v10.64.1 或更高版本 检查业务系统是否使用了 等绕过写法 对SQL注入点进行参数化查询或严格过滤 2. XSS注入漏洞(2023-07-11,v10.58.1) 漏洞描述:修复XXE注入漏洞(注:标题为XXE,但描述为XSS) 修复建议: 升级至 v10.58.1 或更高版本 对用户输入进行HTML实体编码 启用CSP策略 3. 数据库连接池泄露(2023-05-15,v10.57.2) 漏洞描述:修复升级10.57补丁包后,部分环境出现数据库连接池泄露的问题及高并发下出现的性能问题。 修复建议: 升级至 v10.57.2 或更高版本 检查数据库连接池配置 监控连接池使用情况 4. 文件预览失败(2023-04-20,v10.57.1) 漏洞描述:修复E9升级10.57补丁包后,docx文件预览失败的问题。 修复建议: 升级至 v10.57.1 或更高版本 检查文件预览组件配置 5. 其他安全修复(2024-07-02,v10.75/v10.11) 漏洞描述:根据7月1日的攻击情报,将攻击恶意IP加入黑名单。 修复建议: 启用IP黑名单功能 定期更新恶意IP列表 监控异常访问行为 6. 弱口令防护(2024-12-04,v10.72) 漏洞描述:增加境外IP攻击及sysadmin弱口令防护功能。 修复建议: 启用弱口令检测 限制sysadmin账户登录 配置IP访问策略 7. 安全防护异常(2024-12-04,v10.72) 漏洞描述:修复安全防护异常问题。 修复建议: 升级至 v10.72 或更高版本 检查安全防护配置 8. 系统缓存问题(2025-04-10,v10.74) 漏洞描述:修复E8人员卡片无法打开的问题;修复E8/E9可能出现的系统缓存的问题。 修复建议: 升级至 v10.74 或更高版本 清理系统缓存 检查人员卡片配置 9. IP黑名单(2025-04-09,v10.74) 漏洞描述:增加IP黑名单库,阻止已知恶意IP对系统的访问行为。 修复建议: 启用IP黑名单功能 定期更新恶意IP列表 监控异常访问行为 10. 恶意IP黑名单下载(2025-06-16,v10.75) 漏洞描述:增加恶意IP黑名单下载。 修复建议: 启用恶意IP黑名单下载功能 定期更新恶意IP列表 POC代码/利用代码 页面中未提供具体的POC代码或利用代码,仅提到: "原因是POC使用1=1进行测试"(2024-07-18) 其他安全建议 1. 定期更新补丁:建议及时升级到最新版本,获取最新的安全修复。 2. 启用安全防护:启用IP黑名单、弱口令防护、安全防护等功能。 3. 监控异常行为:监控系统日志,发现异常访问行为及时处理。 4. 配置安全策略:配置合理的访问控制策略,限制敏感操作。 5. 定期安全评估:定期进行安全评估和渗透测试,发现潜在风险。