• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

金山终端安全系统V9.0 SQL注入漏洞通告

【发布时间:2023-12-13】

新华三盾山实验室

2023/10/18


1. 漏洞综述

1.1 漏洞背景

金山终端安全系统V9.0是专门为政府、军工、能源、教育、医疗及集团化企业设计的终端安全管理平台。系统集成了恶意代码快速查杀、安全攻击实时防护、全方位桌面安全管理、丰富的运维支撑、灵活的漏洞补丁管理、细粒度的外设管控以及多维度的日志审计回溯等功能,增强了包括从异常检测、行为安全管控、安全加固、安全运维及安全事件回溯等维度的终端整体安全防护,是一款一站式终端安全管理EDR产品。近日,新华三盾山实验室监测到猎鹰安全官方发布新版本,修复了一个存在于金山终端安全系统V9.0中的SQL注入漏洞,攻击者利用该漏洞可执行任意SQL语句。

1.2 漏洞详情

由于金山终端安全系统未对用户输入数据进行有效过滤,恶意攻击者可以通过构造SQL注入语句,利用此漏洞获取数据库敏感信息。

2. 影响范围

version < V9.SP1.E1008

3. 严重等级

威胁等级

严重

影响程度

广泛

利用价值

利用难度

漏洞评分

\

4. 处置方法

4.1 官方补丁

目前官方已修复该漏洞,受影响用户可以升级更新到安全版本。官方下载链接:https://www.ejinshan.net/lywz/zdv9

5. 参考链接

https://www.ejinshan.net/lywz/index

新华三官网
联系我们