0x00 漏洞编号

• 暂无

0x01 危险等级

• 高危
  

0x02 漏洞概述

泛微协同管理应用平台E-Cology是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。

0x03 漏洞详情

漏洞类型：XML外部实体注入

影响：敏感信息泄露

简述：泛微E-Cology 8.x和E-Cology 9.x版本存在XML外部实体注入漏洞，远程未授权攻击者可绕过现有防护实现攻击，最终可能造成敏感信息泄露，且进一步配合其他漏洞可能造成RCE等危害。

0x04 影响版本

• 泛微 Ecology 8 < 10.58.2

• 泛微 Ecology 9 < 10.58.2

0x05 修复建议

目前官方已发布漏洞修复版本，建议用户升级到安全版本：

https://www.weaver.com.cn/

原文始发于微信公众号（浅安安全）：漏洞预警 | 泛微 E-Cology XML外部实体注入漏洞