漏洞描述

2023年5月16日公司监测到泛微官方发布安全补丁，修复了一个绕过认证漏洞。泛微E-Cology9系统是一套基于JSP及SQL Server数据库的OA系统，广泛应用于各个行业。该漏洞是由于泛微E-Cology9存在一个信息泄露接口，攻击者在未授权的情况下，可利用该接口获取系统已注册的用户。此外，由于泛微E-Cology9使用了不安全的算法设计，攻击者可以利用获取到的用户名构造恶意数据，模拟任意用户登录后台。

漏洞危害

由于系统使用了不当的算法设计，攻击者可以模拟任意用户来登录系统，无需认证和鉴权即可实现获取用户数据和登录后台。

漏洞等级

高危

影响范围：

Cology9 < 10.57.1

修复方案

当前官方已发布受影响版本的对应补丁，建议受影响的用户及时更新官方的安全补丁。

链接如下：

https://www.weaver.com.cn/cs/securityDownload.asp