漏洞概况
泛微E-cology是一款企业级协同办公自动化系统,主要为中大型企业提供全面的信息化解决方案。它以智能化、平台化和全程数字化为特点,旨在提升组织的协同办公效率和管理水平。
微步情报局协助泛微E-cology官方修复一处远程代码执行漏洞。由于E-cology将用户可控的参数拼接SQL语句,造成SQL注入漏洞。攻击者可利用该漏洞向数据库中写入数据,并利用Ole组件导出为Webshell,实现远程代码执行,进而获取服务器权限。
该漏洞可绕过身份认证、利用方式简单、且具备规模化利用的条件,建议受影响用户尽快修复。
漏洞处置优先级(VPT)
综合处置优先级:高
漏洞影响范围
漏洞复现
修复方案
官方修复方案:
泛微官方已发布修复补丁,请尽快更新至v10.75版本补丁:
https://www.weaver.com.cn/cs/securityDownload.html
临时修复方案:
可配置防护策略,限制访问漏洞相关路径。完整漏洞利用路径请通过微步漏洞情报查询。
如非必要,避免将资产暴露在互联网。