New 泛微E-Cology XML外部实体注入漏洞

近日，泛微发布了 E-Cology 8.x 和 E-Cology 9.x 的10.58.2 版本的安全补丁，修复了一处 XML 外部实体注入漏洞，漏洞公开编号：暂无，漏洞危害等级：严重。

远程未授权攻击者可绕过现有防护实现 XML 外部实体注入，最终可能造成敏感信息泄露，且进一步配合其他漏洞可能造成RCE等危害。

影响版本

        泛微 Ecology 8<10.58.2

        泛微 Ecology 9<10.58.2

修复建议

    正式防护方案：

        官方已发布新版本中修复上述漏洞，受影响用户请尽快升级到安全版本。

漏洞修复版本：

        泛微 E-Cology 8 >= 10.58.2

        泛微 E-Cology 9 >= 10.58.2

下载链接：

        https://www.weaver.com.cn/cs/securityDownload.html#

POST /rest/ofs/deleteUserRequestInfoByXml HTTP/1.1Host: Content-Type: application/xmlContent-Length: 53
<M>    <syscode>        666    </syscode></M>

原文始发于微信公众号（Khan安全攻防实验室）：New 泛微E-Cology XML外部实体注入漏洞