泛微e-office /iWebOffice/Signature/SignatureDel.php SQL 注入漏洞

影响产品：泛微-EOffice CVSS：7.5 漏洞类型：SQL注入 漏洞描述： 泛微e-office是上海泛微网络科技股份有限公司推出的一款面向中小型企业的标准化协同办公产品，提供文档管理、流程审批、日程管理、会议管理、知识管理、人事管理等功能模块，广泛应用于政府、金融、制造、教育等行业的企事业单位办公自动化建设。泛微e-office的 /iWebOffice/Signature/SignatureDel.php 接口的 SignatureID 参数存在SQL注入漏洞，攻击者可通过构造恶意SQL语句利用RLIKE布尔盲注方式获取数据库中的敏感信息。 影响： 攻击者可利用该SQL注入漏洞获取数据库中的敏感信息，包括管理员凭据、用户隐私数据等，造成严重的数据泄露。 修复建议： 建议厂商尽快修复该漏洞，临时修复方案：1、对SignatureID参数进行严格的整数类型校验2、使用参数化查询代替字符串拼接3、限制数据库用户权限 FOFA： (((header="general/login/index.php" || body="/general/login/view//images/updateLoad.gif" || (body="szFeatures" && body="eoffice") || header="Server: eOffice") && body!="Server: couchdb") || banner="general/login/index.php")