安全通告

                                                   关于泛微ecology 10 远程代码执行漏洞的预警通报

                                                                                                           发布日期：2026–03–13

                                                                                                           [2026]002号

漏洞描述

2026年03月13日监测发现，泛微ecology 10存在多个远程代码执行漏洞，攻击者利用该系列漏洞可远程执行任何代码，从而获取服务器权限。

泛微ecology是一款由泛微网络科技股份有限公司开发的企业级协同管理软件，旨在通过信息化手段提升企业的办公效率和管理水平。该系统集成了工作流程管理、知识管理、文档管理、人力资源管理、项目管理、客户关系管理（CRM）、财务管理等多个功能模块，支持企业内部的协同办公和业务管理。

漏洞编号

无

漏洞危害

此漏洞无须用户权限，攻击者成功利用此漏洞可远程执行任意代码，获取服务器权限，建议受影响用户尽快修复。

漏洞等级

高危
受影响版本

ecology10.0 && 安全补丁版本< v20260312

修复方案

1. 官方升级

目前官方已发布安全补丁，建议受影响的用户参考官方通告进行处置：https://www.weaver.com.cn/cs/security/edm20260312_opzuyukeiouit0312topeywer.html

2. 临时缓解措施

• 如非必要，避免将资产暴露在互联网。
• 在不影响现有业务的情况下，在 nginx 中为 /papi/ 路径下的所有接口配置授权，最常用且最简单的方法是使用 Basic Auth。