一、漏洞详情

泛微协同管理应用平台e-cology是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。

监测发现泛微e-cology OA存在SQL注入漏洞。由于e-cology OA对用户输入内容的验证存在缺陷。未经身份验证的远程攻击者通过向目标系统发送特制的字符串，最终可实现获取目标数据库中的敏感信息。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

e-cology9 补丁版本 <= v10.56

e-cology8 补丁版本 <= v10.56

三、修复建议

目前官方已发布安全补丁修复了该漏洞，官方下载链接：

https://www.weaver.com.cn/cs/securityDownload.html?src=cn