泛微E-COLOGY 漏洞列表

泛微e-cology9中存在信息泄露及任意用户登录漏洞，远程攻击者可利用两个漏洞组合任意登录系统中的用户

泛微e-cology9中存在信息泄露及任意用户登录漏洞，远程攻击者可利用两个漏洞组合任意登录系统中的用户

SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码，从而绕过应用程序的安全措施，直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下，使得攻击者能够获取、修改或删除数据库中的数据，甚至可能执行服务器上的任意代码。

泛微E-Cology存在登录绕过漏洞，攻击者可以绕过系统的访问控制机制，窃取系统中的敏感信息。

泛微E-cology9 存在SQL注入漏洞，攻击者可通过SQL注入漏洞获取数据库敏感信息。

SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码，从而绕过应用程序的安全措施，直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下，使得攻击者能够获取、修改或删除数据库中的数据，甚至可能执行服务器上的任意代码。

泛微E-Cology存在文件上传漏洞，攻击者可以通过该漏洞上传恶意脚本文件到服务器中，通过访问该恶意文件从而执行文件中的恶意代码，进而获取系统权限。

 泛微协同管理应用平台e-cology是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。 泛微协同管理应用平台e-cology /cpt/capital/CptInstock1Ajax.jsp 接口处存在SQL注入漏洞，未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。

泛微E-Cology是一套企业协同管理应用平台，由泛微网络科技股份有限公司开发。泛微 e-cology-CptInstock1Ajax存在sql注入漏洞，允许攻击者通过恶意构造的SQL语句操控数据库，从而导致数据泄露、篡改或破坏，严重威胁系统安全。

泛微e-cology是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。 该漏洞存在于泛微e-cology的/cpt/capital/CptInstock1Ajax.jsp接口，id参数并未在安全规则中限制，从而导致SQL注入漏洞。攻击者可利用该漏洞获取数据库敏感信息以及服务器控制权限。

该漏洞存在于泛微e-cology的/weaver/weaver.formmode.setup.FormmodeFieldBrowserServlet接口，该接口接收用户请求参数，当action为select时，接收用户传递过来的type参数，直接拼接进行SQL语句执行，从而导致SQL注入漏洞。攻击者可利用该漏洞获取数据库敏感信息以及服务器控制权限。

该漏洞存在于泛微e-cology的/api/doc/atom/confirmDoMergeNew接口，可修改imagefile表中的其他字段，泛微的文件上传会存放到这个表里，并且将文件全路径放到filerealpath中，文件下载的时候，会根据filerealpath读取路径。攻击者可利用此漏洞读取服务器中任意文件。

该漏洞存在于泛微e-cology的/weaver/weaver.formmode.servelt.BrowserAction接口。其处理函数接受URI参数中的formId参数值，直接拼接进行SQL语句执行，导致漏洞的产生。攻击者可利用该漏洞获取数据库敏感信息以及服务器控制权限。

该漏洞是通过/api/doc/upload/uploadFile接口上传压缩文件后利用/api/systemExpAndImp/systemImport/getSystemImportModule触发zip自解压从而实现文件写入。攻击者利用此漏洞可上传webshell获取服务器权限。

泛微OA存在SQL注入漏洞。该漏洞出现在 /services/ModeDateService 路径中，在成功利用此漏洞后，攻击者不仅可以读取、修改或删除数据库中的敏感数据，还可能进一步获取数据库服务器的系统权限，执行系统命令，从而对整个系统造成更广泛的破坏和控制。

泛微E-Cology是一套企业协同管理应用平台，由泛微网络科技股份有限公司开发。泛微ecology系统接口BlogService存在SQL注入漏洞

泛微 e-cology 运维管理平台是上海泛微网络科技股份有限公司旗下一款运维监控平台。泛微 e-cology运维管理平台存在任意用户注册漏洞，攻击者构造恶意请注册管理员账户，从而控制整个系统。

泛微e-cology某处功能点最初针对用户输入的过滤不太完善，导致在处理用户输入时可触发XXE。后续修复规则依旧可被绕过，本次漏洞即为之前修复规则的绕过。攻击者可利用该漏洞列目录、读取文件，甚至可能获取应用系统的管理员权限。

泛微 E-Cology 9 是一套企业协同管理应用平台，由泛微网络科技股份有限公司开发。泛微 e-cology 9 getResourceInfo存在未授权SQL注入漏洞，攻击者可以通过该漏洞获取数据库权限。

泛微e-cology存在sql注入漏洞，该漏洞是由于 HrmService 接口对用户发送的请求验证不当导致的。

SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码，从而绕过应用程序的安全措施，直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下，使得攻击者能够获取、修改或删除数据库中的数据，甚至可能执行服务器上的任意代码。

泛微e-cology 9存在sql注入漏洞，该漏洞是由于WorkPlanService接口对用户发送的请求验证不当导致的。

泛微e-cology存在sql注入漏洞，此漏洞是由于getLabelByModule接口对用户的请求验证不当导致的。

泛微 E-Cology /services/WorkPlanService 存在SQL注入漏洞，可利用该漏洞获取数据库中的敏感数据等。

泛微 E-Cology 任意文件写入漏洞

泛微e-cology是一款由泛微网络科技开发的协同管理平台，支持人力资源、财务、行政等多功能管理和移动办公。泛微e-cology 9.0QRcodeBuildAction 存在认证绕过导致 SQL 注入漏洞，攻击者可利用此漏洞获取数据库中敏感数据。

泛微e-cology中存在SQL注入漏洞，此漏洞是由于WorkflowServiceXml未充分验证用户输入的数据所导致的。

泛微协同管理应用平台（e-cology）是一套兼具企业信息门户、知识管理、数据中心、工作流管理、人力资源管理、客户与合作伙伴管理、项目管理、财务管理、资产管理功能的协同商务平台。泛微 E-Cology9 存在SQL注入漏洞，攻击者除了可以利用 SQL注入漏洞获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进⼀步获取服务器系统权限。

泛微e-cology是一款由泛微网络科技开发的协同管理平台，支持人力资源、财务、行政等多功能管理和移动办公。泛微e-cology getFileViewUrl存在SSRF漏洞，攻击者可获取服务器敏感信息

弱口令漏洞指的是系统中使用了简单、容易猜测或常见的密码，导致攻击者可以通过猜测或暴力破解的方式轻易获取账户权限，进而访问或控制受影响的系统资源。这种漏洞通常由于缺乏有效的密码策略或用户对安全意识的忽视造成。

泛微 e-cology /rest/ofs/ProcessDoneRequestByXml 存在XML注入漏洞

泛微e-cology是一款由泛微网络科技开发的协同管理平台，支持人力资源、财务、行政等多功能管理和移动办公。 泛微E-cologyifNewsCheckOutByCurrentUser.dwr 存在SQL注入漏洞。攻击者可利用此漏洞获取数据库中敏感数据。

泛微e-cology是一款由泛微网络科技开发的协同管理平台，支持人力资源、财务、行政等多功能管理和移动办公。泛微e-cology存在外部实体注入漏洞。未经授权的攻击者可利用该漏洞列目录、读取文件，甚至可能获取应用系统的管理员权限。

泛微E-Cology中存在任意文件读取漏洞，此漏洞是由于程序未充分验证用户输入ProcessOverRequestByXml接口的数据所导致的。

泛微e-cology是一款由泛微网络科技开发的协同管理平台，支持人力资源、财务、行政等多功能管理和移动办公。 2024年7月，泛微官方发布了新补丁，修复了一处SQL注入漏洞。经分析，攻击者无需认证即可利用该漏洞，建议受影响的客户尽快修复漏洞。

泛微e-cology是一款由泛微网络科技开发的协同管理平台，支持人力资源、财务、行政等多功能管理和移动办公。泛微e-cology存在文件读取漏洞，攻击者可通过该漏洞读取任意文件。

泛微协同管理应用平台(e-cology)是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台，并可形成一系列的通用解决方案和行业解决方案。泛微e-cology存在命令执行漏洞，攻击者可以获取服务器权限。

泛微协同管理应用平台(e-cology)是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台，并可形成一系列的通用解决方案和行业解决方案。泛微e-cology存在sql注入,攻击者可以通过该漏洞获取数据库权限。

泛微协同管理应用平台(e-cology)是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台，并可形成一系列的通用解决方案和行业解决方案。攻击者可通过该漏洞读取系统重要文件（如数据库配置文件、系统配置文件）、数据库配置文件等等，导致网站处于极度不安全状态。

泛微e-cology是专为大中型企业制作的OA办公系统,支持PC端、移动端和微信端同时办公等。泛微E-cology存在敏感信息泄露,攻击者可获得数据库连接的地址，密码等相关信息。

泛微E-cology 存在sql注入漏洞，攻击者可获取敏感数据。

泛微E-Cology某9.0版本存在登录绕过漏洞，可以直接登陆进入后台

泛微OA办公系统也称为泛微协同办公系统，是一款以简单、适用、高效为原则打造的优质OA办公系统，该软件内置流程、门户、知识、人事、沟通的20多个功能模块，并采用智能语音交互办公模式，能够完美贴合企业实际需求，为企业打通全程数字化管理。泛微OA办公系统存在SQL注入漏洞，攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。

泛微 E-Cology9 协同办公系统是一套基于 JSP 及 SQL Server 数据库的 OA系统，包括知识文档管理、人力资源管理、客户关系管理、项目管理、财务管理、工作流程管理、数据中心等打造协同高效的企业管理环境，突破企业人、财、物、信息、流程等各种资源之间的屏障，并将集团各企业、企业各部门、各分支机构、以及企业与外部的供应商、分销商、客户及其他合作伙伴等整合在一个统一的平台上，使企业变成一个电子化的内外部协同工作的组织，由于泛微e-cology9中对用户前台输入的数据未做校验，可以通过构造恶意的数据包导致SQL注入漏洞，进一步获取敏感数据。

泛微e-cology是专为大中型企业制作的OA办公系统,支持PC端、移动端和微信端同时办公等。 泛微e-cology9 WorkflowServiceXml存在SQL注入漏洞。攻击者可利用该漏洞获取敏感信息。

【漏洞对象】泛微OA 【涉及版本】包括但不限于泛微 E-cology OA 8.0、9.0 版本【漏洞描述】泛微产品技术研发专注于协同管理软件领域，拥有自主知识产权的协同管理软件系列产品，并致力于以协同 OA 为核心帮助企业构建全员统一的移动办公平台。泛微OA 系统的 /mobile/DBconfigReader.jsp 文件中会将当前连接数据库的用户名密码，url，logintype 等信息进行 des加密，并最终进行返回，对返回信息可以直接通过 des 解密获取明文信息。攻击者可通过该漏洞页面直接获取到数据库配置信息，泛微e-cology默认数据库大多为MSSQL数据库，如果攻击者可直接访问数据库,则可直接获取用户数据。

泛微E-cology OA存在SQL注入漏洞，攻击者可通过SQL注入漏洞获取数据库敏感信息。