一、漏洞描述
泛微E-cology是一款企业级协同办公自动化系统,主要为中大型企业提供全面的信息化解决方案。它以智能化、平台化和全程数字化为特点,是泛微网络科技有限公司开发的一款业务流程管理(BPM)和协同办公(Collaboration)平台。
近日,互联网上披露了关于泛微E-cology中存在一个远程代码执行漏洞。在受影响版本中,该漏洞源于未对用户的输入进行有效的过滤,直接将用户可控的参数拼接成SQL语句,且该接口经过DES加密传输,导致全局WAF失效,造成SQL注入漏洞。攻击者可利用该漏洞向数据库中写入数据,并利用Ole组件导出为webshell,成功利用可导致远程代码执行、获取服务器权限等严重危害。该漏洞对应的NVDB编号为NVDB-CNVDB-2025530957,该漏洞影响较高,请受影响的用户做好安全加固措施。
二、漏洞等级
高
三、影响范围
泛微E-cology补丁版本号 <= V10.73
四、安全版本
泛微E-cology补丁版本号 >= V10.74
五、修复建议
目前官方已修复该漏洞,建议受影响用户尽快前往官网升级至安全补丁版本。
六、缓解方案
如非必要,避免将资产暴露在互联网。
七、参考链接
https://www.weaver.com.cn/cs/securityDownload.html
原文始发于微信公众号(企业安全实践):【漏洞预警】泛微E-cology前台远程代码执行漏洞风险通告
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论