【漏洞已复现】泛微OA系统前台任意用户登录风险通告

漏洞描述

e-cology是一款全能的企业管理平台，它提供了多种功能，泛微 E-Cology以移动互联下的组织社交化转型需求为导向，采用轻前端重后端的设计思路，在前端面向用户提供个性化的办公平台，后端引擎帮助企业高效整合既有的IT资源生成符合用户需求的IT应用，帮助企业实现多种路径实现移动协同办公。

     漏洞利用原理:攻击者在远程且未授权的情况下,通过利用此漏洞,可以直接以任意用户身份登录到系统。

受影响版本

泛微E-cology 9.x补丁 <= 10.57

漏洞复现

修复方案

临时修复建议：

• 如果目前无法升级，若业务环境允许，使用白名单限制web端口的访问来降低风险。

通用修复建议：官方已经针对漏洞发布了补丁更新，下载地址如下：https://www.weaver.com.cn/cs/securityDownload.asp

原文始发于微信公众号（飓风网络安全）：【漏洞已复现】泛微OA系统前台任意用户登录风险通告