泛微 漏洞列表

泛微OA E-cology系统存在一个身份认证绕过漏洞。该漏洞源于系统对/dwr/call/plaincall/路径下的特定DWR（Direct Web Remoting）接口调用缺少严格的访问控制。远程未经身份认证的攻击者可以构造特制的请求，调用敏感的Java Bean或方法。成功利用此漏洞，攻击者可以绕过身份验证机制，获取管理员Session ID等敏感信息，并最终以管理员权限登录系统后台，可能导致系统被完全控制。

泛微OA weaver.common.Ctrl 存在任意文件上传漏洞，攻击者可以利用该漏洞上传恶意文件，进而控制整个服务器。

泛微OA ShowDocsImage 存在SQL注入漏洞，攻击者可以利用该漏洞获取数据库敏感信息，进而控制整个系统。

泛微OA E-Cology Action.jsp mobile.skin.SkinAction任意文件上传漏洞，攻击者可以利用该漏洞上传恶意文件执行任意命令，进而控制整个服务器。

泛微 E-Office /E-mobile/create/ajax_do.php 存在SQL注入漏洞，攻击者可以利用该漏洞获取数据库敏感信息，进而控制整个系统。

泛微 E-weaver /api/ec/dev/locale/getLabelByModule存在SQL注入漏洞，攻击者可以利用该漏洞获取数据库敏感信息，进而控制整个系统。

泛微 E-Office /E-mobile/diarydo.php 存在SQL注入漏洞，攻击者可以利用该漏洞获取数据库敏感信息，进而控制整个系统。

e-mobile是泛微为手机、平板电脑等移动终端的移动办公产品。 上海泛微网络科技股份有限公司e-mobile平台login.do页面存在表达式注入漏洞。允许攻击者远程执行命令，获得服务器权限。 app="泛微-EMobile"

2019年9月17日泛微OA官方更新了一个远程代码执行漏洞补丁, 泛微e-cology OA系统的Java Beanshell接口可被未授权访问, 攻击者调用该Beanshell接口, 可构造特定的HTTP请求绕过泛微本身一些安全限制从而达成远程命令执行, 漏洞等级严重 app="泛微-协同办公OA"

泛微e-cology是专为大中型企业制作的OA办公系统,支持PC端、移动端和微信端同时办公等。 泛微e-cology存在SQL注入漏洞。攻击者可利用该漏洞获取敏感信息 app="泛微-协同办公OA"

在/general/index/UploadFile.php中上传文件过滤不严格导致允许无限制地上传文件，攻击者可以通过该漏洞直接获取网站权限 app="泛微-协同办公OA" || app="Weaver-OA"

由于泛微e-cology9中对用户前台输入的数据未做校验，可以通过构造恶意的数据包导致SQL注入漏洞，进一步获取敏感数据。 fofa-query: app="泛微-协同商务系统" shodan-query: 'ecology_JSessionid' Hunter: title=="泛微-协同软件的精英团队，我们的目标：造就协同软件第一品牌！" hex(hex(hex(a' union select 1,''+(SELECT @@VERSION)+')))

泛微云桥（e-Bridge）是上海泛微公司在”互联网+”的背景下研发的一款用于桥接互联网开放资源与企业信息化系统的系统集成中间件。泛微云桥存在任意文件读取漏洞，攻击者成功利用该漏洞，可实现任意文件读取，获取敏感信息。 title="泛微云桥e-Bridge"

泛微OA ecology V9前台任意上传漏洞 app="Weaver-OA"

泛微OA E-Office officeserver.php文件存在任意文件读取漏洞，攻击者通过漏洞可以下载服务器上的任意文件 app="泛微-EOffice"

泛微OA e-cology 文件下载目录遍历 app="Weaver-OA"

fofa-query: app="泛微-协同办公OA"

泛微OA HrmCareerApplyPerView.jsp文件存在SQL注入漏洞，攻击者通过漏洞可以读取服务器敏感文件 app="泛微-协同办公OA"

泛微e-cology是专为大中型企业制作的OA办公系统,支持PC端、移动端和微信端同时办公等，其中 jqueryFileTree.jsp 文件中 dir 参数存在目录遍历漏洞，攻击者通过漏洞可以获取服务器文件目录信息 app="泛微-协同办公OA"

泛微协同管理平台e-weaver继承e-cology八大功能模块应用，并可进一步打通企业更深层的个性管理需求，基于协同思想打造全面整合企业管理资源的环境。e-weaver基于工作流引擎＋卡片/表单＋组件模式，全面开放已有八大功能的配置应用，同时还可以根据用户个性的管理需求，增添企业独立的应用模块功能，从而形成完全符合自身企业的全面协同管理应用解决方案。泛微OA e-weaver平台SignatureDownLoad处存在敏感信息泄露漏洞，攻击者通过漏洞可以获取数据库服务器权限。 fofa-query: app="泛微-E-Weaver"

泛微OA e-cology syncuserinfo SQL注入漏洞 app="Weaver-OA"

泛微OA V8 存在SQL注入漏洞，攻击者可以通过漏洞获取管理员权限和服务器权限 app="泛微-协同办公OA"

泛微OA e-cology validate SQL注入漏洞 app="Weaver-OA"

泛微OA E-Cology VerifyQuickLogin.jsp文件中存在任意管理员登录漏洞，攻击着通过发送特殊的请求包可以获取管理员Session app="泛微-协同办公OA"

2019年10月10日CNVD发布了泛微e-cology OA系统存在SQL注入漏洞。该漏洞是由于OA系统的WorkflowCenterTreeData接口中涉及Oracle数据库的SQL语句缺乏安全检查措施所导致的，任意攻击者都可借SQL语句拼接时机注入恶意payload，造成SQL注入攻击。影响版本：使用Oracle数据库的泛微服务 fofa-query: app="Weaver-OA"

泛微 e-Mobile 6.0 存在命令执行漏洞，攻击者可通过在输入中添加特殊字符或命令来序列欺骗应用程序将其作为有效命令去执行，从而获取服务器的执行权限。 HUNTER: app.name="泛微 e-mobile OA"

泛微E-Mobile是一款移动办公解决方案，由上海泛微网络科技股份有限公司专业研发。 这款软件旨在为手机、平板电脑等移动终端用户提供便捷的办公体验。 在/client/cdnfile接口存在任意文件读取漏洞，攻击者可以未授权下载服务器上任意文件，造成信息泄露。

FOFA：fid="2csJpuWtfTdSAavIfJTuBw==" 进一步利用/验证方法，参考下面 reference 链接

泛微e-cology9中存在信息泄露及任意用户登录漏洞，远程攻击者可利用两个漏洞组合任意登录系统中的用户

泛微 OA filedownloadforoutdoc interface has SQL injection

泛微 Ecology OA 系统由于对用户传入的数据过滤处理不当，导致存在 SQL 注入漏洞，远程且未经过身份认证的攻击者可利用此漏洞进行 SQL 注入攻击，从而可窃取数据库敏感信息。长亭科技安全研究员经过分析后确认此漏洞同时影响 Ecology 9 和 8 两个版本系列，使用泛微 Ecology 的用户需尽快进行补丁更新升级。 泛微 ecology 9.x 补丁版本号 <= v10.56 泛微 ecology 8.x 补丁版本号 <= v10.56 app="泛微-协同商务系统" app="泛微-协同办公OA"

泛微ecology OA系统接口存在数据库配置信息泄露漏洞

泛微e-cology某处功能点最初针对用户输入的过滤不太完善，导致在处理用户输入时可触发XXE。后续修复规则依旧可被绕过，本次漏洞即为之前修复规则的绕过。攻击者可利用该漏洞列目录、读取文件，甚至可能获取应用系统的管理员权限。 e-cology 9.x 增量补丁版本 < 10.58.1 FOFA: app="泛微-协同商务系统" FOFA: app="泛微-协同办公OA"

泛微e-cology9中存在信息泄露及任意用户登录漏洞，远程攻击者可利用两个漏洞组合任意登录系统中的用户

FOFA: title="移动管理平台-企业管理" ZoomEye: app:"泛微移动办公平台e-mobile"

某微E-Mobile installOperate.do 接口处存在服务器请求伪造漏洞，未经身份验证的远程攻击者利用此漏洞扫描服务器所在的内网或本地端口，获取服务的banner信息，窥探网络结构，甚至对内网或本地运行的应用程序发起攻击，获取服务器内部敏感配置，造成信息泄露 fofa：title="Aviatrix Controller" FOFA：header="EMobileServer"

泛微云桥（e-Bridge）是上海泛微公司在”互联网+”的背景下研发的一款用于桥接互联网开放资源与企业信息化系统的系统集成中间件。 fofa-query: title=“泛微云桥”

泛微 E-Message是一个相对纯净的沟通平台，联系人多是面向企业内部，没有弹窗广告，推送过来的都是工作信息。泛微 Emessage管理平台存在文件读取漏洞，攻击者可通过该漏洞读取系统重要文件（如数据库配置文件、系统配置文件）、数据库配置文件等等，导致网站处于极度不安全状态。

泛微E-Mobile是一个专注于协同管理软件领域的公司，成立于2001年，总部位于上海。泛微OA致力于帮助组织构建统一的数字化运营平台，提供包括e-cology、e-office、etems、e-nation等在内的产品系列，覆盖大中型企业和中小型企业的需求，以及一体化的移动办公云OA平台。其接口installOperate.do存在SSRF漏洞，攻击者可通过该漏洞读取系统信息和探测内网信息。

泛微E-Office 是一款广泛应用于企业的办公自动化系统。该漏洞存在于 /general/crm/record/detail.php 接口中，攻击者可以通过构造恶意的 SQL 查询语句，利用该漏洞获取数据库中的敏感信息，甚至可能导致数据库被完全控制。

泛微e-office系统是一款标准、易用、快速部署上线的专业协同OA软件。泛微e-office /webservice/calendar/cale.wsdl.php 存在SQL注入漏洞，攻击者可以利用该漏洞获取数据库中的敏感信息（如管理员后台密码、用户个人信息等），甚至在高权限情况下向服务器写入木马，进一步获取服务器系统权限。

泛微 E-cology 是一个集企业信息门户、知识管理、数据中心、工作流管理、人力资源管理、客户与合作伙伴管理、项目管理、财务管理、资产管理等功能于一体的协同业务平台。泛微E-Cology deleteUserRequestInfoByXml 存在XXE漏洞，攻击者可以利用该漏洞读取系统任意文件内容。

泛微OA系统在/weaver/weaver.file.FileDownloadForOutDoc接口中存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句，未经授权地访问数据库中的敏感信息，可能导致数据泄露、篡改或破坏。

SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码，从而绕过应用程序的安全措施，直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下，使得攻击者能够获取、修改或删除数据库中的数据，甚至可能执行服务器上的任意代码。

该系统存在SQL注入漏洞，攻击者可以构造恶意sql语句并执行，获取数据库敏感信息以及权限。

2025年7月，泛微官方发布v10.76补丁修复了一处 SQL注入漏洞，经分析，攻击者可利用此漏洞获取服务器敏感信息，如结合其他后台漏洞可导致代码执行，最终造成服务器沦陷。

泛微E-Cology存在登录绕过漏洞，攻击者可以绕过系统的访问控制机制，窃取系统中的敏感信息。

远程代码执行漏洞是指攻击者通过某些漏洞在服务器上执行任意代码，这通常是由于应用程序对外部输入的验证不足或处理不当造成的。攻击者可以利用这个漏洞上传恶意代码或直接通过HTTP请求发送恶意代码，从而控制服务器，进行包括数据窃取、网站篡改、服务器资源滥用等在内的多种恶意行为。

权限提升漏洞是指攻击者可以利用系统或应用程序中的安全缺陷，获取比原本授予更高的权限。这种漏洞通常由于系统配置错误、程序逻辑缺陷、访问控制不当等原因造成。攻击者可能通过获取更高级别权限或获取同级别其他用户权限的方式来扩大其访问范围和控制能力。

远程代码执行漏洞是指攻击者通过某些漏洞在服务器上执行任意代码，这通常是由于应用程序对外部输入的验证不足或处理不当造成的。攻击者可以利用这个漏洞上传恶意代码或直接通过HTTP请求发送恶意代码，从而控制服务器，进行包括数据窃取、网站篡改、服务器资源滥用等在内的多种恶意行为。

泛微E-cology9 存在SQL注入漏洞，攻击者可通过SQL注入漏洞获取数据库敏感信息。

SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码，从而绕过应用程序的安全措施，直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下，使得攻击者能够获取、修改或删除数据库中的数据，甚至可能执行服务器上的任意代码。

泛微-云桥e-Bridge addTasteJsonp接口存在SQL注入漏洞，未经身份验证的远程攻击者除了可以利用SQL注入漏洞获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息）之外，甚至在高 权限的情况可向服务器中写入木马，进一步获取服务器系统权限。

SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码，从而绕过应用程序的安全措施，直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下，使得攻击者能够获取、修改或删除数据库中的数据，甚至可能执行服务器上的任意代码。

泛微e-office SignatureDel.php 接口处存在SQL注入漏洞，未经身份验证的恶意攻击者利用 SQL注入漏洞获取数据库中的信息（例如管理员后台密码、站点用户个人信息）之外，攻击者甚至可以在高权限下向服务器写入命令，进一步获取服务器系统权限。

泛微e-office系统是标准、易用、快速部署上线的专业协同OA软件,该系统存在敏感信息泄露漏洞

泛微E-Cology存在文件上传漏洞，攻击者可以通过该漏洞上传恶意脚本文件到服务器中，通过访问该恶意文件从而执行文件中的恶意代码，进而获取系统权限。

泛微OA E-cology /mobile/plugin/plugin.xml 未授权访问漏洞，攻击者可利用此漏洞获取文件敏感数据。

SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码，从而绕过应用程序的安全措施，直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下，使得攻击者能够获取、修改或删除数据库中的数据，甚至可能执行服务器上的任意代码。

泛微E-Office是一款标准化的协同 OA 办公软件，泛微协同办公产品系列成员之一,实行通用化产品设计，充分贴合企业管理需求，本着简洁易用、高效智能的原则，为企业快速打造移动化、无纸化、数字化的办公平台。泛微e-office email.wsdl.php 接口处存在SQL注入漏洞，未经身份验证的恶意攻击者利用 SQL 注入漏洞获取数据库中的信息（例如管理员后台密码、站点用户个人信息）之外，攻击者甚至可以在高权限下向服务器写入命令，进一步获取服务器系统权限。

泛微E-Office是一款标准化的协同OA办公软件，旨在为企业提供移动化、无纸化、数字化的办公平台。该漏洞存在于文件上传功能中，攻击者可以通过上传特制的PHP文件，执行恶意代码，从而实现远程代码执行，可能导致敏感信息泄露、数据篡改等严重后果。

泛微E-Office是一款标准化的协同OA办公软件，旨在为企业提供移动化、无纸化、数字化的办公平台。该漏洞存在于泛微e-office的文件上传功能中，攻击者可以通过上传特制的PHP文件，执行恶意代码，实现服务器的远程控制，进而可能造成敏感信息泄露、数据篡改等危害。

SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码，从而绕过应用程序的安全措施，直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下，使得攻击者能够获取、修改或删除数据库中的数据，甚至可能执行服务器上的任意代码。

泛微E-Office是一款标准化的协同 OA 办公软件，泛微协同办公产品系列成员之一，旨在为企业提供移动化、无纸化、数字化的办公平台。该漏洞存在于泛微E-Office的 /general/new_mytable/content_list/content_-4.php 接口，攻击者可以通过SQL注入获取数据库中的敏感信息（如管理员后台密码、用户个人信息），甚至在高权限下执行命令，进一步获取服务器系统权限。

泛微E-Office是一款标准化的协同OA办公软件，旨在为企业提供移动化、无纸化、数字化的办公平台。该漏洞存在于泛微E-Office的 /webservice-json/online_person/online_person.wsdl.php 接口中，攻击者可以通过SQL注入获取数据库中的敏感信息（如管理员后台密码、用户个人信息），甚至在高权限下向服务器写入命令，进一步获取服务器系统权限。

泛微E-Office是一款标准化的协同OA办公软件，旨在为企业提供移动化、无纸化、数字化的办公平台。该漏洞存在于泛微E-Office的 /webservice-json/online_person/online_person.wsdl.php 接口中，攻击者可以通过SQL注入获取数据库中的敏感信息（如管理员后台密码、用户个人信息），甚至在高权限下向服务器写入命令，进一步获取服务器系统权限。

泛微E-Office是一款标准化的协同OA办公软件，旨在为企业提供移动化、无纸化、数字化的办公平台。该漏洞存在于泛微E-Office的 /webservice-json/online_person/online_person.wsdl.php 接口中，攻击者可以通过SQL注入获取数据库中的敏感信息（如管理员后台密码、用户个人信息），甚至在高权限下向服务器写入命令，进一步获取服务器系统权限。

泛微E-Office是一款标准化的协同OA办公软件，旨在为企业提供移动化、无纸化、数字化的办公平台。该漏洞存在于泛微E-Office的 /webservice-json/notify/notify.wsdl.php 接口中，攻击者可以通过SQL注入获取数据库中的敏感信息（如管理员后台密码、用户个人信息），甚至在高权限下向服务器写入命令，进一步获取服务器系统权限。

泛微E-Office是一款标准化的协同 OA 办公软件，泛微协同办公产品系列成员之一，旨在为企业提供移动化、无纸化、数字化的办公平台。该漏洞存在于泛微E-Office的 /general/new_mytable/block_content.php 接口，攻击者可以通过SQL注入获取数据库中的敏感信息（如管理员后台密码、用户个人信息），甚至在高权限下执行命令，进一步获取服务器系统权限。

泛微e-office attendance.wsdl.php 接口处存在SQL注入漏洞，未经身份验证的恶意攻击者利用 SQL注入漏洞获取数据库中的信息（例如管理员后台密码、站点用户个人信息）之外，攻击者甚至可以在高权限下向服务器写入命令，进一步获取服务器系统权限。

泛微e-office是泛微公司面向中小型组织推出的OA产品,简单易用高效,部署快、投资少。提供免费试用体验。泛微e-office存在sql注入漏洞，攻击者可以构造恶意sql语句获取数据库权限。

泛微e-office是泛微公司面向中小型组织推出的OA产品,简单易用高效,部署快、投资少。提供免费试用体验。泛微e-office存在sql注入漏洞，攻击者可以构造恶意sql语句获取数据库权限。

泛微e-cology某处功能点最初针对用户输入的过滤不太完善，导致在处理用户输入时可触发XXE。后续修复规则依旧可被绕过，本次漏洞即为之前修复规则的绕过。攻击者可利用该漏洞列目录、读取文件，甚至可能获取应用系统的管理员权限。

文件上传漏洞发生在应用程序允许用户上传文件的功能中，如果上传功能未能正确地验证和限制上传文件的类型和内容，攻击者可能利用此漏洞上传恶意文件，如包含可执行代码的脚本文件，从而在服务器上执行任意命令，控制或破坏系统。

XXE漏洞，即XML外部实体注入漏洞，是由于应用程序处理XML输入时，未正确配置或过滤外部实体引用导致的安全漏洞。攻击者可以通过构造恶意XML数据，导致服务器端信息泄露、拒绝服务攻击、远程代码执行等严重后果。

XXE漏洞，即XML外部实体注入漏洞，是由于应用程序处理XML输入时，未正确配置或过滤外部实体引用导致的安全漏洞。攻击者可以通过构造恶意XML数据，导致服务器端信息泄露、拒绝服务攻击、远程代码执行等严重后果。

SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码，从而绕过应用程序的安全措施，直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下，使得攻击者能够获取、修改或删除数据库中的数据，甚至可能执行服务器上的任意代码。

SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码，从而绕过应用程序的安全措施，直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下，使得攻击者能够获取、修改或删除数据库中的数据，甚至可能执行服务器上的任意代码。

SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码，从而绕过应用程序的安全措施，直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下，使得攻击者能够获取、修改或删除数据库中的数据，甚至可能执行服务器上的任意代码。

泛微协同管理应用平台e-cology是一款企业级协同管理平台，涵盖企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理及数据中心功能。泛微协同管理应用平台e-cology的x.FileDownloadLocation接口存在SQL注入漏洞，未经身份验证的远程攻击者可以通过该漏洞获取数据库中的敏感信息（如管理员后台密码、用户个人信息），甚至在高权限情况下向服务器写入恶意代码，进一步获取系统权限。

SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码，从而绕过应用程序的安全措施，直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下，使得攻击者能够获取、修改或删除数据库中的数据，甚至可能执行服务器上的任意代码。

SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码，从而绕过应用程序的安全措施，直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下，使得攻击者能够获取、修改或删除数据库中的数据，甚至可能执行服务器上的任意代码。

鉴权绕过漏洞是指攻击者通过某些手段绕过系统的正常权限验证机制，获取未授权的访问或执行权限。这种漏洞通常存在于身份验证、授权检查、权限控制等环节的不足或缺陷中，使得未经授权的用户能够访问或操作敏感数据、执行关键操作，甚至获取系统控制权。

SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码，从而绕过应用程序的安全措施，直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下，使得攻击者能够获取、修改或删除数据库中的数据，甚至可能执行服务器上的任意代码。

SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码，从而绕过应用程序的安全措施，直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下，使得攻击者能够获取、修改或删除数据库中的数据，甚至可能执行服务器上的任意代码。

泛微云桥e-BridgeOA是一种基于云计算和移动互联网技术的企业办公自动化（OA）解决方案。它由中国的企业软件开发公司泛微软件开发，旨在帮助企业实现高效的办公管理和协同工作。泛微云桥e-Bridge addTasteJsonp 接口存在SQL注入漏洞，攻击者可获取数据库敏感信息

敏感信息泄露漏洞是指由于系统或应用程序的安全措施不足，导致敏感信息（如用户数据、系统配置、内部通信等）被未授权的第三方获取。这种漏洞可能由于不当的配置、缺乏访问控制、不安全的数据处理和传输等原因造成。攻击者可能利用泄露的信息进行进一步的攻击，如身份盗窃、欺诈、数据篡改等。

泛微e-mobile移动管理平台是一款企业级移动办公解决方案，旨在提高企业的移动办公效率。然而，该平台存在硬编码口令的问题，攻击者可以利用这一漏洞通过暴力破解进入用户系统，造成系统破坏。

远程代码执行漏洞是指攻击者通过某些漏洞在服务器上执行任意代码，这通常是由于应用程序对外部输入的验证不足或处理不当造成的。攻击者可以利用这个漏洞上传恶意代码或直接通过HTTP请求发送恶意代码，从而控制服务器，进行包括数据窃取、网站篡改、服务器资源滥用等在内的多种恶意行为。

远程代码执行漏洞是指攻击者通过某些漏洞在服务器上执行任意代码，这通常是由于应用程序对外部输入的验证不足或处理不当造成的。攻击者可以利用这个漏洞上传恶意代码或直接通过HTTP请求发送恶意代码，从而控制服务器，进行包括数据窃取、网站篡改、服务器资源滥用等在内的多种恶意行为。

SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码，从而绕过应用程序的安全措施，直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下，使得攻击者能够获取、修改或删除数据库中的数据，甚至可能执行服务器上的任意代码。

SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码，从而绕过应用程序的安全措施，直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下，使得攻击者能够获取、修改或删除数据库中的数据，甚至可能执行服务器上的任意代码。

远程命令执行漏洞是指攻击者通过构造特定的请求，使得服务器端执行非预期的命令，从而可能导致未授权的数据访问、权限提升、服务中断等严重后果。这种漏洞通常由于应用程序对用户输入的验证不充分或者对外部命令调用缺乏必要的安全控制而产生。

SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码，从而绕过应用程序的安全措施，直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下，使得攻击者能够获取、修改或删除数据库中的数据，甚至可能执行服务器上的任意代码。

&nbsp;泛微协同管理应用平台e-cology是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。&nbsp;泛微协同管理应用平台e-cology&nbsp;/cpt/capital/CptInstock1Ajax.jsp&nbsp;接口处存在SQL注入漏洞，未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。

SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码，从而绕过应用程序的安全措施，直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下，使得攻击者能够获取、修改或删除数据库中的数据，甚至可能执行服务器上的任意代码。

泛微E-Mobile是一款由泛微网络科技股份有限公司开发的移动办公产品，该产品专门为手机、平板电脑等移动终端用户设计，旨在提供便捷、高效的移动办公体验。泛微E-Mobile client/cdnfile 接口存在任意文件读取漏洞，未经身份验证攻击者可通过该漏洞读取系统重要文件（如数据库配置文件、系统配置文件）、数据库配置文件等等，导致网站处于极度不安全状态。

泛微E-Cology是一套企业协同管理应用平台，由泛微网络科技股份有限公司开发。泛微 e-cology-CptInstock1Ajax存在sql注入漏洞，允许攻击者通过恶意构造的SQL语句操控数据库，从而导致数据泄露、篡改或破坏，严重威胁系统安全。

泛微E-Office是一款企业级的全流程办公自动化软件，它包括协同办公、文档管理、知识管理、工作流管理等多个模块，涵盖了企业日常工作中的各个环节。泛微E-Office能够帮助企业实现全流程数字化、自动化，提高工作效率和管理质量，降低管理成本，为企业提供全面、高效、便捷的办公服务。该系统/E-mobile/App/System/File/downfile.php存在任意文件下载漏洞，通过该漏洞攻击者可以下载服务上任意文件。

泛微e-cology是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。 该漏洞存在于泛微e-cology的/cpt/capital/CptInstock1Ajax.jsp接口，id参数并未在安全规则中限制，从而导致SQL注入漏洞。攻击者可利用该漏洞获取数据库敏感信息以及服务器控制权限。

该漏洞存在于泛微e-cology的/weaver/weaver.formmode.setup.FormmodeFieldBrowserServlet接口，该接口接收用户请求参数，当action为select时，接收用户传递过来的type参数，直接拼接进行SQL语句执行，从而导致SQL注入漏洞。攻击者可利用该漏洞获取数据库敏感信息以及服务器控制权限。

该漏洞存在于泛微e-cology的ImportValidationFieldServlet接口，该接口用于处理导入操作时字段的验证。其处理函数selectfieldData接收用户输入的modeid参数，直接拼接进行SQL语句执行，从而导致SQL注入漏洞。攻击者可利用该漏洞获取数据库敏感信息以及服务器控制权限。

该漏洞涉及泛微e-office的多个接口。首先通过对接口/api/attachment/cache-url发送特定请求可实现写入任意缓存，进而通过二维码登录接口/api/auth/qrcode/sign-on可获取管理员的访问令牌。然后对接口/api/attachment/base64/pdf构造特定请求，附加以上获取的访问令牌可实现上传base64编码后的PHAR文件。最后通过对接口/api/photo-album/picture/thumb/get构造恶意请求，实现PHAR反序列化，执行任意代码。

该漏洞存在于泛微e-cology的/api/doc/atom/confirmDoMergeNew接口，可修改imagefile表中的其他字段，泛微的文件上传会存放到这个表里，并且将文件全路径放到filerealpath中，文件下载的时候，会根据filerealpath读取路径。攻击者可利用此漏洞读取服务器中任意文件。

该漏洞存在于泛微e-cology的/weaver/weaver.formmode.servelt.BrowserAction接口。其处理函数接受URI参数中的formId参数值，直接拼接进行SQL语句执行，导致漏洞的产生。攻击者可利用该漏洞获取数据库敏感信息以及服务器控制权限。

该漏洞是通过/api/doc/upload/uploadFile接口上传压缩文件后利用/api/systemExpAndImp/systemImport/getSystemImportModule触发zip自解压从而实现文件写入。攻击者利用此漏洞可上传webshell获取服务器权限。

泛微OA E-Colgy是一款面向中大型组织的数字化办公产品，它基于全新的设计理念和管理思想，旨在为中大型组织创建一个全新的高效协同办公环境。泛微OAE-Cology /users.data存在敏感信息泄露漏洞，攻击者利用此漏洞可以获取系统敏感信息。

泛微e-Mobile移动管理平台是一款由泛微软件开发的企业移动办公解决方案。它提供了一系列功能和工具，使企业员工能够通过移动设备随时随地进行办公和协作。泛微E-Mobilecdnfile 存在任意文件读取漏洞，攻击者可通过该漏洞读取服务器上任意文件。

泛微e-mobile存在接口/client/cdnfile，该接口存在未授权路由导致文件读取，通过读取数据库文件可以提取出ecology集成用户信息，获取到一个普通权限的token，进一步利用权限提升获取sysadmin token，最终任意文件写入覆盖模板文件getshell。

远程代码执行漏洞是指攻击者通过某些漏洞在服务器上执行任意代码，这通常是由于应用程序对外部输入的验证不足或处理不当造成的。攻击者可以利用这个漏洞上传恶意代码或直接通过HTTP请求发送恶意代码，从而控制服务器，进行包括数据窃取、网站篡改、服务器资源滥用等在内的多种恶意行为。

“泛微-e-office”是一款由中国泛微网络技术有限公司开发的企业级办公自动化平台。这款软件旨在为企业提供一站式的协同办公解决方案，包括但不限于公文管理、会议管理、档案管理、人事管理、项目管理等功能模块。它支持多种设备和操作系统，使得员工可以在不同的场景下进行工作，提高工作效率。

泛微e-mobile是由上海泛微网络科技股份有限公司开发的一款移动办公产品，它专门为手机、平板电脑等移动终端用户精心打造，提供浏览器版和客户端版。泛微移动管理平台存在信息泄露

E-Office是一款标准化的协同 OA 办公软件，泛微协同办公产品系列成员之一,实行通用化产品设计，充分贴合企业管理需求，本着简洁易用、高效智能的原则，为企业快速打造移动化、无纸化、数字化的办公平台。泛微e-office 存在权限绕过漏洞（测试页面sample.php），攻击者可以通过此页面获取有效cookie绕过权限校验，访问后台。

泛微OA存在SQL注入漏洞。该漏洞出现在 /services/ModeDateService 路径中，在成功利用此漏洞后，攻击者不仅可以读取、修改或删除数据库中的敏感数据，还可能进一步获取数据库服务器的系统权限，执行系统命令，从而对整个系统造成更广泛的破坏和控制。

泛微E-Cology是一套企业协同管理应用平台，由泛微网络科技股份有限公司开发。泛微ecology系统接口BlogService存在SQL注入漏洞

泛微e-cology存在远程代码执行漏洞，此漏洞是由于testConnByBasePassword接口未充分验证用户输入的数据所导致的。

泛微 OA 存在目录遍历漏洞。此漏洞是由于fileDownload.jsp对于用户发送的请求缺乏校验导致的。

泛微E-Office10是一款企业级办公自动化系统，主要用于优化和管理企业的文档、信息流转、协作与沟通工作流程。其schema_mysql.sql 接口存在信息泄露漏洞，未经授权的攻击者访问，可能会获得敏感信息。

泛微OA ecology存在敏感信息泄露及越权登录漏洞，攻击者可能利用泄露的信息进行进一步的攻击，如身份盗窃、欺诈、数据篡改等。

攻击者可通过该漏洞读取系统重要文件（如数据库配置文件、系统配置文件）、数据库配置文件等等，导致网站处于极度不安全状态。

泛微E-Office10是一款企业级办公自动化系统，主要用于优化和管理企业的文档、信息流转、协作与沟通工作流程，泛微e-office10存在信息泄露漏洞，攻击者可利用此漏洞获取致数据库敏感信息。

泛微e-mobile是由上海泛微网络科技股份有限公司开发的一款移动办公产品，它专门为手机、平板电脑等移动终端用户精心打造，提供浏览器版和客户端版。泛微/install/updatePlugin.do存在认证绕过漏洞，攻击者可获取内部系统敏感信息。

泛微 e-cology 运维管理平台是上海泛微网络科技股份有限公司旗下一款运维监控平台。泛微 e-cology运维管理平台存在任意用户注册漏洞，攻击者构造恶意请注册管理员账户，从而控制整个系统。

泛微 E-office 10 schema_mysql.sql存在信息泄露漏洞。此漏洞是由于对用户的身份认证缺乏校验导致的。

泛微云桥存在任意文件上传漏洞。此漏洞是由于addResume对用户上传的文件缺乏校验导致的。

XXE漏洞，即XML外部实体注入漏洞，是由于应用程序处理XML输入时，未正确配置或过滤外部实体引用导致的安全漏洞。攻击者可以通过构造恶意XML数据，导致服务器端信息泄露、拒绝服务攻击、远程代码执行等严重后果。

泛微 E-Bridge addResume 未授权 文件上传限制不当漏洞

泛微云桥存在任意文件上传漏洞，ResumeController 模块未对上传文件类型进行严格校验。未授权的攻击者可以通过构造特定的 multipart 请求，上传任意文件，从而绕过文件类型限制。利用 /wxclient/app/recruit/resume/addResume 接口，攻击者能够上传并执行恶意文件，最终实现远程命令执行。

泛微e-cology某处功能点最初针对用户输入的过滤不太完善，导致在处理用户输入时可触发XXE。后续修复规则依旧可被绕过，本次漏洞即为之前修复规则的绕过。攻击者可利用该漏洞列目录、读取文件，甚至可能获取应用系统的管理员权限。

泛微ecology存在服务端请求伪造漏洞，该漏洞是由于getFileViewUrl接口对用户发送的请求验证不当导致的。

泛微E-office是一种企业级办公自动化软件，由中国泛微网络科技股份有限公司开发。该产品ajaxLists_Coop文件keyword参数存在sql注入漏洞，可能造成数据泄漏，甚至服务器被入侵。

泛微协同管理应用平台(e-cology)是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台，并可形成一系列的通用解决方案和行业解决方案。&nbsp;泛微ecology 9系统存在信息泄露漏洞，攻击者通过构造特殊URL地址，可以读取ecology_dev.zip文件。

敏感信息泄露漏洞是指由于系统或应用程序的安全措施不足，导致敏感信息（如用户数据、系统配置、内部通信等）被未授权的第三方获取。这种漏洞可能由于不当的配置、缺乏访问控制、不安全的数据处理和传输等原因造成。攻击者可能利用泄露的信息进行进一步的攻击，如身份盗窃、欺诈、数据篡改等。

泛微E-cology存在SQL注入漏洞。该漏洞出现在/rest/ofs/ProcessOverRequestByJson 路径中，攻击者可以通过在注入恶意SQL代码来操纵数据库。在攻击者成功利用此漏洞后，可以执行任意SQL命令，从而读取、修改或删除数据库中的敏感数据。

泛微OA存在SQL注入漏洞。该漏洞出现在 /services/HrmService 路径中，攻击者可以通过在注入恶意SQL代码来操纵数据库。在攻击者成功利用此漏洞后，可以执行任意SQL命令，从而读取、修改或删除数据库中的敏感数据。

泛微 E-Cology 9 是一套企业协同管理应用平台，由泛微网络科技股份有限公司开发。泛微 e-cology 9 getResourceInfo存在未授权SQL注入漏洞，攻击者可以通过该漏洞获取数据库权限。

e-office是一款标准协同移动办公平台。 上海泛微网络科技股份有限公司e-office forwardsucess.php存在SQL注入漏洞，攻击者可利用该漏洞获取数据库敏感信息。

泛微E-Cology是一套企业协同管理应用平台，由泛微网络科技股份有限公司开发。泛微 E-Cology HrmService 存在SQL注入漏洞，攻击者可以获取数据库敏感信息。

泛微e-cology存在sql注入漏洞，该漏洞是由于 HrmService 接口对用户发送的请求验证不当导致的。

泛微e-cology是一款由泛微网络科技开发的协同管理平台，支持人力资源、财务、行政等多功能管理和移动办公。泛微e-cology 9.0QRcodeBuildAction 存在认证绕过导致 SQL 注入漏洞，攻击者可利用此漏洞获取数据库中敏感数据。

泛微OA存在SQL注入漏洞。该漏洞出现在/weaver/weaver.email.FileDownloadLocation路径中，攻击者可以通过在注入恶意SQL代码来操纵数据库。在攻击者成功利用此漏洞后，可以执行任意SQL命令，从而读取、修改或删除数据库中的敏感数据。

SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码，从而绕过应用程序的安全措施，直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下，使得攻击者能够获取、修改或删除数据库中的数据，甚至可能执行服务器上的任意代码。

泛微e-cology 9存在sql注入漏洞，该漏洞是由于WorkPlanService接口对用户发送的请求验证不当导致的。

泛微E-office 10存在sql注入漏洞，该漏洞是由于leave_record.php接口对用户发送的请求验证不当导致的。

远程代码执行漏洞是指攻击者通过某些漏洞在服务器上执行任意代码，这通常是由于应用程序对外部输入的验证不足或处理不当造成的。攻击者可以利用这个漏洞上传恶意代码或直接通过HTTP请求发送恶意代码，从而控制服务器，进行包括数据窃取、网站篡改、服务器资源滥用等在内的多种恶意行为。

泛微E-Office 10存在远程代码执行漏洞，此漏洞是程序对用户上传到atuh-file接口的文件数据缺乏校验导致的。

泛微e-cology存在sql注入漏洞，此漏洞是由于getLabelByModule接口对用户的请求验证不当导致的。

泛微E-Mobile存在服务端请求伪造漏洞。此漏洞是由于installOperator.do对于用户提交的请求缺乏校验导致的。

泛微E-Mobile installOperate.do SSRF漏洞

SSRF漏洞，即服务器端请求伪造漏洞，是由于服务器端应用程序在处理客户端请求时，未正确验证和过滤URL参数，导致攻击者可以通过构造特定的URL参数，使服务器发起到内部网络或本地的请求。这种漏洞允许攻击者获取内部服务的敏感信息，执行内部网络扫描，甚至可能触发内部服务的漏洞，造成严重的安全威胁。

泛微 E-Cology /services/WorkPlanService 存在SQL注入漏洞，可利用该漏洞获取数据库中的敏感数据等。

泛微 E-Cology 任意文件写入漏洞

泛微e-cology是一款由泛微网络科技开发的协同管理平台，支持人力资源、财务、行政等多功能管理和移动办公。泛微e-cology 9.0QRcodeBuildAction 存在认证绕过导致 SQL 注入漏洞，攻击者可利用此漏洞获取数据库中敏感数据。

泛微e-cology中存在SQL注入漏洞，此漏洞是由于WorkflowServiceXml未充分验证用户输入的数据所导致的。

泛微 e-Weaver 存在服务器请求伪造漏洞，此漏洞是由于程序未充分验证用户通过 getFileViewUrl 接口输入的url所导致的。

泛微协同管理应用平台（e-cology）是一套兼具企业信息门户、知识管理、数据中心、工作流管理、人力资源管理、客户与合作伙伴管理、项目管理、财务管理、资产管理功能的协同商务平台。泛微 E-Cology9 存在SQL注入漏洞，攻击者除了可以利用 SQL注入漏洞获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进⼀步获取服务器系统权限。

泛微 E-Office 是一款标准化的协同 OA 办公软件，实行通用化产品设计，充分贴合企业管理需求，本着简洁易用、高效智能的原则，为企业快速打造移动化、无纸化、数字化的办公平台。泛微E-OFFICEV10通过向attachment/atuh-file接口上传恶意序列化数据.inc文件，之后在找到dingtalk/dingtalk-move反序列化触发点触发 phar 反序列化达到RCE操作。泛微E-OFFICEV10全版本RCE可直接获取OA系统服务器管理员权限，攻击者可利用该漏洞执行任意系统命令、获取系统数据库配置账号密码，并通过连接数据库获取OA管理员及所有用户账号密码、员工基本信息、公司组织架构，进入OA后台可自由添加删除人员账户、查看企业内部敏感文档，利用这些信息和账户身份进行鱼叉攻击、窃取企业机邮件和文档；还可以获取OA配置的邮件配置信息或VPN配置信息，攻击者可进行二次利用，会对企业内部安全造成重大安全隐患。

泛微 OA 是泛微旗下的一款标准协同移动办公平台。泛微 OA getLabelByModule 存在SQL注入漏洞。攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。

SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码，从而绕过应用程序的安全措施，直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下，使得攻击者能够获取、修改或删除数据库中的数据，甚至可能执行服务器上的任意代码。

泛微e-cology是一款由泛微网络科技开发的协同管理平台，支持人力资源、财务、行政等多功能管理和移动办公。泛微e-cology getFileViewUrl存在SSRF漏洞，攻击者可获取服务器敏感信息

泛微e-mobile是由上海泛微网络科技股份有限公司开发的一款移动办公产品，它专门为手机、平板电脑等移动终端用户精心打造，提供浏览器版和客户端版。泛微emobileinstallOperate.do 存在SSRF漏洞，攻击者可获取内部系统敏感信息。

SSRF漏洞，即服务器端请求伪造漏洞，是由于服务器端应用程序在处理客户端请求时，未正确验证和过滤URL参数，导致攻击者可以通过构造特定的URL参数，使服务器发起到内部网络或本地的请求。这种漏洞允许攻击者获取内部服务的敏感信息，执行内部网络扫描，甚至可能触发内部服务的漏洞，造成严重的安全威胁。

SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码，从而绕过应用程序的安全措施，直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下，使得攻击者能够获取、修改或删除数据库中的数据，甚至可能执行服务器上的任意代码。

泛微 E-Office10是一款企业级办公自动化系统，主要用于优化和管理企业的文档、信息流转、协作与沟通工作流程，泛微 E-Office 10 在10.0_20230821 版本之前存在远程代码执行漏洞，该漏洞是通过文件上传配合文件包含实现远程代码执行，攻击者可利用此漏洞上传恶意文件并控制服务器。

弱口令漏洞指的是系统中使用了简单、容易猜测或常见的密码，导致攻击者可以通过猜测或暴力破解的方式轻易获取账户权限，进而访问或控制受影响的系统资源。这种漏洞通常由于缺乏有效的密码策略或用户对安全意识的忽视造成。

敏感信息泄露漏洞是指由于系统或应用程序的安全措施不足，导致敏感信息（如用户数据、系统配置、内部通信等）被未授权的第三方获取。这种漏洞可能由于不当的配置、缺乏访问控制、不安全的数据处理和传输等原因造成。攻击者可能利用泄露的信息进行进一步的攻击，如身份盗窃、欺诈、数据篡改等。

泛微 E-office submit.php 文件上传漏洞

泛微 e-cology /rest/ofs/ProcessDoneRequestByXml 存在XML注入漏洞

泛微 E-office /general/new_mytable/block_content.php 存在SQL注入漏洞

泛微E-Mobile存在SQL注入漏洞。此漏洞是缺乏校验导致的。

泛微E-Mobile存在SQL注入漏洞。此漏洞是缺乏校验导致的。

泛微E-Office user_page.php信息泄露漏洞

泛微E-Office UserSelect 信息泄露漏洞

泛微e-cology是一款由泛微网络科技开发的协同管理平台，支持人力资源、财务、行政等多功能管理和移动办公。 泛微E-cologyifNewsCheckOutByCurrentUser.dwr 存在SQL注入漏洞。攻击者可利用此漏洞获取数据库中敏感数据。

泛微e-cology是一款由泛微网络科技开发的协同管理平台，支持人力资源、财务、行政等多功能管理和移动办公。泛微e-cology存在外部实体注入漏洞。未经授权的攻击者可利用该漏洞列目录、读取文件，甚至可能获取应用系统的管理员权限。

泛微e-mobile移动管理平台存在硬编码口令msgadmin/Weaver#2012!@#，攻击者可利用该口令以超级管理员身份登录管理后台。

/

/

泛微E-Cology中存在任意文件读取漏洞，此漏洞是由于程序未充分验证用户输入ProcessOverRequestByXml接口的数据所导致的。

泛微OA Validator.ifNewsCheckOutByCurrentUser SQL注入漏洞。

泛微e-cology是一款由泛微网络科技开发的协同管理平台，支持人力资源、财务、行政等多功能管理和移动办公。 2024年7月，泛微官方发布了新补丁，修复了一处SQL注入漏洞。经分析，攻击者无需认证即可利用该漏洞，建议受影响的客户尽快修复漏洞。

泛微OA ProcessOverRequestByXml 任意文件读取漏洞

泛微 E-Office9 forwardsucess.php runid参数 存在SQL注入漏洞。

泛微e-cology是一款由泛微网络科技开发的协同管理平台，支持人力资源、财务、行政等多功能管理和移动办公。泛微e-cology存在文件读取漏洞，攻击者可通过该漏洞读取任意文件。

泛微E-Office 10存在远程代码执行漏洞，此漏洞是程序对用户上传到atuh-file接口的文件数据缺乏校验导致的。

泛微E-Office 10存在远程代码执行漏洞，此漏洞是程序对用户上传到atuh-file接口的文件数据缺乏校验导致的。

泛微E-Mobile是中国泛微软件公司开发的一款移动办公应用软件。该软件旨在为企业提供移动办公解决方案，使员工可以随时随地通过手机或平板电脑访问企业内部系统和数据，实现工作流程的移动化、灵活化和高效化。泛微E-Mobile存在命令执行漏洞，攻击者可以通过/client.do执行任意命令执行，从而获得服务器权限

漏洞的关键在于系统处理上传的PHAR文件时存在缺陷。攻击者能够上传伪装的PHAR文件到服务器，利用PHP处理PHAR文件时自动进行的反序列化机制来触发远程代码执行。

泛微系统cloudstore/system/#/sys接口存在未授权访问

泛微E-Office 是一款企业办公软件，该漏洞可能允许攻击者通过发送特制的请求来执行任意代码，从而控制受影响的系统。

/

泛微云桥e-BridgeOA是一种基于云计算和移动互联网技术的企业办公自动化（OA）解决方案。它由中国的企业软件开发公司泛微软件开发，旨在帮助企业实现高效的办公管理和协同工作。由于泛微云桥e-Bridge平台addTaste接口存在SQL注入漏洞，未经身份认证的攻击者可以利用该漏洞获取数据库权限及数据库的敏感数据。