安全通告 | 泛微e-cology前台SQL注入漏洞

泛微协同管理应用平台（e-cology）是一款全面的企业管理平台。它具备多元化的功能，包括企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理以及数据中心等。这款平台有助于企业整合各种资源，包括管理、市场、销售、研发、人事和行政等各个领域。通过e-cology，这些资源可以在一个统一的平台上集成，并为用户提供统一的界面以方便操作和获取信息。

近日，中睿天下安全团队监测到泛微e-cology前台SQL注入漏洞。由于系统未对用户的输入进行有效的过滤，直接将其拼接进了SQL查询语句中，最终可导致攻击者获取数据库敏感信息。鉴于该漏洞影响较大，建议客户尽快做好自查及防护。

中睿天下安全服务团队已复现此漏洞，复现截图如下：

e-cology9：部分版本，且补丁版本<10.58.0

通过资产测绘系统发现，全球共134,678 个泛微e-cology的使用记录，其中中国有133,940个使用记录。

目前官方目前已发布升级补丁进行漏洞修复，建议受影响用户尽快进行版本更新。

官方下载链接：https://www.weaver.com.cn/cs/securityDownload.html