【漏洞通告】泛微E-cology9 SQL注入漏洞

漏洞名称：

泛微 E-cology9 SQL 注入漏洞

组件名称：

泛微 E-cology9

影响范围：

泛微 E-Cology9 ≤ 10.55

漏洞类型：

SQL 注入

利用条件：

1、用户认证：不需要用户认证
2、前置条件：默认配置
3、触发方式：远程

综合评价：

<综合评定利用难度>：未知。

<综合评定威胁等级>：高危，能造成数据库敏感信息泄露。

官方解决方案：

已发布

漏洞分析

组件介绍

泛微 E-Cology9 系统是一套基于 JSP 及 SQL Server 数据库的 OA 系统，广泛应用于各个行业。

漏洞简介

2023 年 2 月 23 日，深信服安全团队监测到一则泛微 E-Cology9 组件存在 SQL注入漏洞的信息，漏洞威胁等级：高危。

该漏洞是由于泛微 E-Cology9 未验证用户输入的合法性，攻击者可利用该漏洞在未授权的情况下，构造恶意数据进行 SQL 注入，最终造成数据库敏感信息泄露等。

影响范围

目前受影响的泛微 E-Cology9 版本：

泛微 E-Cology9 ≤ 10.55

解决方案

官方修复建议

当前官方已发布受影响版本的对应补丁，建议受影响的用户及时更新官方的安全补丁。链接如下：

https://www.weaver.com.cn/cs/securityDownload.asp#

参考链接

https://www.weaver.com.cn/cs/securityDownload.asp#

时间轴

2023/2/23

深信服监测到泛微 E-Cology9 官方发布安全补丁。

2023/2/23

深信服千里目安全技术中心发布漏洞通告。

点击阅读原文，及时关注并登录深信服智安全平台，可轻松查询漏洞相关解决方案。