&

admin

2025年7月17日 23:32 本文熱度 568

漏洞概述
漏洞名稱	泛微E-cology9存在遠程代碼執行漏洞
安恒CERT評級	1級	CVSS3.1評分	9.8（安恒自評）
CVE編號	未分配	CNVD編號	未分配
CNNVD編號	未分配	安恒CERT編號	WM-202506-000003
POC情況	已發現	EXP情況	已發現
在野利用	未發現	研究情況	已復現
危害描述	該漏洞由于E-cology9某接口參數可控且直接帶入拼接SQL語句，導致SQL注入漏洞產生，結合該軟件多采用SQLServer類型數據，攻擊者可利用該漏洞向數據庫中寫入數據，并導出Webshell，實現遠程代碼執行，進而獲取服務器權限。

該產品主要使用客戶行業分布廣泛，漏洞危害性高，建議客戶盡快做好自查及防護。

安恒研究院衛兵實驗室已復現此漏洞。

漏洞信息

泛微E-cology9是一款企業級協同辦公（OA）平臺，核心定位是智能化、全程數字化的組織管理。

漏洞描述

漏洞危害等級：嚴重

漏洞類型：遠程代碼執行

影響范圍

影響版本：

泛微E-cology9 補丁版本 < v10.75

安全版本：

泛微E-cology9 補丁版本 >= v10.75

CVSS向量

訪問途徑（AV）：網絡

攻擊復雜度（AC）：低

所需權限（PR）：無

用戶交互（UI）：無

影響范圍（S）：不變

機密性影響（C）：高

完整性影響（l）：高

可用性影響（A）：高

修復方案

官方修復方案：

官方已發布修復方案，受影響的用戶建議及時更新v10.75版本補丁。

https://www.weaver.com.cn/cs/securityDownload.html

參考資料

https://www.weaver.com.cn/cs/securityDownload.html

技術支持

如有漏洞相關需求支持請聯系400-6059-110獲取相關能力支撐。

閱讀原文：原文鏈接

該文章在 2025/7/18 10:56:41 編輯過