泛微 E-Cology deleteUserRequestInfoByXml XML外部实体注入漏洞

• 漏洞编号：暂无
  
• 漏洞类型：XML外部实体注入(XXE)
• 漏洞等级：严重
• 发布时间：2023-07-14

漏洞描述：

泛微协同管理应用平台E-Cology是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。

近日，泛微发布了 E-Cology 8.x 和 E-Cology 9.x 的10.58.2 版本的安全补丁，修复了一处 XML 外部实体注入漏洞，漏洞公开编号：暂无，漏洞危害等级：严重。

远程未授权攻击者可绕过现有防护实现 XML 外部实体注入，最终可能造成敏感信息泄露，且进一步配合其他漏洞可能造成RCE等危害。

影响版本：

修复建议

官方已发布新版本中修复上述漏洞，受影响用户请尽快升级到安全版本。
漏洞修复版本：
泛微 E-Cology 8 >= 10.58.2
泛微 E-Cology 9 >= 10.58.2
下载链接：
https://www.weaver.com.cn/cs/securityDownload.html#

参考链接:
https://www.weaver.com.cn/cs/securityDownload.asp