2024年7月16日,网上更新披露了一个泛微e-cology9 WorkflowServiceXml SQL注入漏洞(QVD-2024-26136),泛微协同管理应用平台(e-cology)是一套兼具企业信息门户、知识管理、数据中心、工作流管理、人力资源管理、客户与合作伙伴管理、项目管理、财务管理、资产管理功能的协同商务平台,请各位用户尽快安装漏洞补丁。
漏洞风险:泛微e-cology9 10.64.1之前版本存在存在远程命令执行漏洞,该漏洞源于未对用户的输入进行有效的过滤,直接将其拼接进了SQL查询语句中,导致系统出现 SQL 注入漏洞 ,攻击者可以通过SQL注入配合数据库功能实现远程任意命令执行,获取服务器权限。
风险等级:高风险。
影响范围:
泛微e-cology9 < 10.64.1
修复建议:
目前官方已有可更新版本,建议受影响用户升级至最新版本。
进行安全更新方法:
https://www.weaver.com.cn/cs/securityDownload.html#
