漏洞编号

暂无

危险等级

高危

漏洞概述

泛微协同管理应用平台（e-cology）是一套兼具企业信息门户、知识管理、数据中心、工作流管理、人力资源管理、客户与合作伙伴管理、项目管理、财务管理、资产管理功能的协同商务平台。

漏洞详情

漏洞类型:SQL注入

影响:获取敏感信息

简述:泛微E-cology存在SQL注入漏洞， 由于将用户可控的参数拼接SQL语句，且该接口经过DES加密传输，导致全局WAF失效，造成SQL注入漏洞。攻击者可利用该漏洞向数据库中写入数据，并利用Ole组件导出为Webshell，实现远程代码执行，进而获取服务器权限。

影响版本

泛微e-cology < v10.74

POC状态

未公开

修复建议

目前官方已发布漏洞修复版本，建议用户升级到安全版本 ： https://www.weaver.com.cn/