【漏洞通告】泛微 e-cology SQL注入漏洞（CVE-2023-3793）

泛微协同管理应用平台（e-cology）是一套兼具企业信息门户、知识管理、数据中心、工作流管理、人力资源管理、客户与合作伙伴管理、项目管理、财务管理、资产管理功能的协同商务平台。

7月21日，启明星辰VSRC监测到泛微e-cology存在一个SQL注入漏洞（CVE-2023-3793），该漏洞的CVSS评分为5.5。

泛微e-cology版本10.58.0之前存在SQL注入漏洞，该漏洞影响HTTP POST 请求处理程序组件的filelFileDownloadForOutDoc.class文件的某些未知处理，使用输入1+WAITFOR+DELAY操作参数fileid会导致SQL注入，可利用该漏洞获取数据库中的敏感信息并进一步执行恶意操作。

二、影响范围

泛微e-cology版本<10.58.0

三、安全措施

3.1 升级版本

目前官方已经修复了该漏洞，受影响用户可升级到以下版本：

泛微e-cology版本>=10.58.0

下载链接：

https://www.weaver.com.cn/cs/securityDownload.asp#

3.2 临时措施

暂无。

3.3 通用建议

定期更新系统补丁，减少系统漏洞，提升服务器的安全性。

加强系统和网络的访问控制，修改防火墙策略，关闭非必要的应用端口或服务，减少将危险服务（如SSH、RDP等）暴露到公网，减少攻击面。

使用企业级安全产品，提升企业的网络安全性能。

加强系统用户和权限管理，启用多因素认证机制和最小权限原则，用户和软件权限应保持在最低限度。

启用强密码策略并设置为定期修改。

3.4 参考链接

https://nvd.nist.gov/vuln/detail/CVE-2023-3793

https://vuldb.com/?id.235061