安全通告

泛微ecology9 SQL注入漏洞预警通告

发布日期：2023-3-1

漏洞描述

2023年3月1日公司监测到泛微官方发布安全补丁，修复了一个SQL注入漏洞。泛微 E-Cology9 协同办公系统是一套基于 JSP 及 SQL Server 数据库的 OA 系统，兼具企业信息门户、知识文档管理、工作流程、管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。由于泛微e-cology9中对用户输入的数据验证存在缺陷，未经身份验证的攻击者通过构造特制数据包，最终可获取数据库中的敏感信息。

漏洞编号

CNVD-2023-12632

漏洞危害

攻击者通过构造特制数据包，最终可获取数据库中的敏感信息。

漏洞等级

严重
受影响版本

泛微e-cology9<=10.55

修复方案

目前官方已发布安全补丁修复了该漏洞，请受影响的用户尽快升级版本进行防护，官方下载链接如下：

https://www.weaver.com.cn/cs/securityDownload.asp#

参考链接

https://x.threatbook.com/v5/article?threatInfoID=42915