泛微 ECology WorkflowServiceXml SQL注入漏洞

• 漏洞编号：暂无
  
• 漏洞类型：sql注入
• 漏洞等级：高危
• 发布时间：2024-07-12

漏洞描述：

泛微协同管理应用平台e-cology是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。

泛微 e-cology v10.64.1 在 2024-07-10 补丁之前版本存在 SQL 注入漏洞，/services/ 接口默认对内网暴露，用于服务调用，未经身份认证的攻击者可向 /services/WorkflowServiceXml 接口发送恶意的 SOAP 请求进行 SQL 注入，获取系统数据并进一步接管系统。

影响版本：

修复建议

官方已发布新版本中修复上述漏洞，受影响用户请尽快升级到安全版本。

泛微e-cology 9 >= 10.64.1

官方补丁下载地址：

https://www.weaver.com.cn/cs/securityDownload.html

参考链接:
https://www.oscs1024.com/hd/MPS-mrb1-6gf5

https://www.weaver.com.cn/cs/securityDownload.html?src=cn