泛微協(xié)同管理應用平臺(E-cology)是一套兼具企業(yè)信息門戶、知識文檔管理、工作流程管理、人力資源管理、客戶關(guān)系管理、項目管理、財務管理、資產(chǎn)管理、供應鏈管理、數(shù)據(jù)中心功能的企業(yè)大型協(xié)同管理平臺，形成了一系列的通用解決方案和行業(yè)解決方案。該平臺廣泛應用于各類企業(yè)和組織的日常辦公和業(yè)務管理中。

近日，泛微官方披露了一個嚴重的泛微 E-cology9 未授權(quán) SQL 注入漏洞。未經(jīng)身份認證的遠程攻擊者可以通過構(gòu)造特殊的 HTTP 請求，在目標系統(tǒng)上執(zhí)行任意 SQL 查詢語句，成功的利用該漏洞可獲取系統(tǒng)敏感信息，當數(shù)據(jù)庫為 SQL Server 時可能進一步利用獲取目標系統(tǒng)的代碼執(zhí)行權(quán)限。

360漏洞研究院已復現(xiàn)泛微 E-cology9 SQL注入漏洞，通過延時注入的方式（延時 4 秒）進行了驗證。

發(fā)起 SQL 注入請求

觸發(fā)泛微 E-cology9 未授權(quán)SQL注入

影響以下版本的泛微產(chǎn)品：

E-cology9 < 10.76

正式防護方案

官方已發(fā)布新版本中修復上述漏洞，受影響用戶請盡快升級到安全版本。

漏洞修復版本：

泛微 E-cology9 >= 10.76

臨時緩解措施

盡量不要將該服務器暴露在公網(wǎng)，或通過防火墻規(guī)則限制能夠訪問該服務器的IP地址為可信IP。

360測繪云 Quake：默認支持該產(chǎn)品的指紋識別。

360高級持續(xù)性威脅預警系統(tǒng)：已具備該漏洞的檢測能力。告警ID為：60129498，建議用戶盡快升級檢測規(guī)則庫。

360資產(chǎn)與漏洞檢測管理系統(tǒng)：預計 2025年7月11日 發(fā)布規(guī)則更新包，支持該漏洞利用行為的檢測。
本地安全大腦：默認支持該漏洞的PoC檢測。

2025年7月10日，360漏洞研究院發(fā)布本安全風險通告。

https://www.weaver.com.cn/cs/securityDownload.html

建議您訂閱360數(shù)字安全-漏洞情報服務，獲取更多漏洞情報詳情以及處置建議，讓您的企業(yè)遠離漏洞威脅。

郵箱：360VRI@360.cn

網(wǎng)址：https://vi.loudongyun.360.net