泛微E-Cology9 漏洞列表

泛微E-cology9 存在SQL注入漏洞，攻击者可通过SQL注入漏洞获取数据库敏感信息。

该漏洞存在于泛微e-cology的/weaver/weaver.formmode.setup.FormmodeFieldBrowserServlet接口，该接口接收用户请求参数，当action为select时，接收用户传递过来的type参数，直接拼接进行SQL语句执行，从而导致SQL注入漏洞。攻击者可利用该漏洞获取数据库敏感信息以及服务器控制权限。

泛微OA存在SQL注入漏洞。该漏洞出现在 /services/ModeDateService 路径中，在成功利用此漏洞后，攻击者不仅可以读取、修改或删除数据库中的敏感数据，还可能进一步获取数据库服务器的系统权限，执行系统命令，从而对整个系统造成更广泛的破坏和控制。

SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码，从而绕过应用程序的安全措施，直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下，使得攻击者能够获取、修改或删除数据库中的数据，甚至可能执行服务器上的任意代码。

泛微协同管理应用平台（e-cology）是一套兼具企业信息门户、知识管理、数据中心、工作流管理、人力资源管理、客户与合作伙伴管理、项目管理、财务管理、资产管理功能的协同商务平台。泛微 E-Cology9 存在SQL注入漏洞，攻击者除了可以利用 SQL注入漏洞获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进⼀步获取服务器系统权限。

泛微 E-Cology9 协同办公系统是一套基于 JSP 及 SQL Server 数据库的 OA系统，包括知识文档管理、人力资源管理、客户关系管理、项目管理、财务管理、工作流程管理、数据中心等打造协同高效的企业管理环境，突破企业人、财、物、信息、流程等各种资源之间的屏障，并将集团各企业、企业各部门、各分支机构、以及企业与外部的供应商、分销商、客户及其他合作伙伴等整合在一个统一的平台上，使企业变成一个电子化的内外部协同工作的组织，由于泛微e-cology9中对用户前台输入的数据未做校验，可以通过构造恶意的数据包导致SQL注入漏洞，进一步获取敏感数据。

泛微e-cology是专为大中型企业制作的OA办公系统,支持PC端、移动端和微信端同时办公等。 泛微e-cology9 WorkflowServiceXml存在SQL注入漏洞。攻击者可利用该漏洞获取敏感信息。