【漏洞通告】关于 泛微e-cology9 协同办公系统SQL注入漏洞的通告

    概述   

我中心技术支撑单位“微步在线”通过其“X漏洞奖励计划 ”发现泛微e-cology9协同办公系统存在SQL注入漏洞，未经身份认证的远程攻击者利用此漏洞可以获取数据库敏感信息，进一步利用将可能导致系统被控制。泛微e-cology9是一款国产协同办公系统，主要面向国内中大型企业，被广泛应用在集团管理、高新技术、生产制造、咨询顾问、医药通信、房地产、酒店餐饮、金融业等领域。目前，泛微官方已发布安全补丁，由于该漏洞利用无权限要求，利用难度低，危害范围较大，建议相关行业单位尽快自查办公系统使用情况，及时更新至安全版本以防遭受数据泄露。

泛微 E-Cology9 协同办公系统是一套基于 JSP 及 SQL Server 数据库的 OA 系统，兼具企业信息门户、知识文档管理、工作流程、管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。

   漏洞详情   

由于泛微e-cology9中对用户输入的数据验证存在缺陷，未经身份验证的攻击者通过构造特制数据包，最终可获取数据库中的敏感信息。

漏洞名称：泛微e-cology9 SQL注入漏洞

漏洞编号：暂无

危害等级：高 

    影响范围   

受影响版本

· 泛微e-cology9 <= 10.55

安全版本

· 泛微e-cology9 >= 10.56

    解决方案   

通用修补建议

目前， 泛微官方已发布安全补丁修复漏洞，请受影响单位按照下述升级说明，更新安全补丁：

https://www.weaver.com.cn/cs/securityDownload.asp#

参考链接：

[1]https://x.threatbook.com/v5/article?threatInfoID=42915

-END-