泛微OA 漏洞列表

泛微OA E-cology系统存在一个身份认证绕过漏洞。该漏洞源于系统对/dwr/call/plaincall/路径下的特定DWR（Direct Web Remoting）接口调用缺少严格的访问控制。远程未经身份认证的攻击者可以构造特制的请求，调用敏感的Java Bean或方法。成功利用此漏洞，攻击者可以绕过身份验证机制，获取管理员Session ID等敏感信息，并最终以管理员权限登录系统后台，可能导致系统被完全控制。

泛微OA weaver.common.Ctrl 存在任意文件上传漏洞，攻击者可以利用该漏洞上传恶意文件，进而控制整个服务器。

泛微OA ShowDocsImage 存在SQL注入漏洞，攻击者可以利用该漏洞获取数据库敏感信息，进而控制整个系统。

泛微OA E-Cology Action.jsp mobile.skin.SkinAction任意文件上传漏洞，攻击者可以利用该漏洞上传恶意文件执行任意命令，进而控制整个服务器。

2019年9月17日泛微OA官方更新了一个远程代码执行漏洞补丁, 泛微e-cology OA系统的Java Beanshell接口可被未授权访问, 攻击者调用该Beanshell接口, 可构造特定的HTTP请求绕过泛微本身一些安全限制从而达成远程命令执行, 漏洞等级严重 app="泛微-协同办公OA"

泛微e-cology是专为大中型企业制作的OA办公系统,支持PC端、移动端和微信端同时办公等。 泛微e-cology存在SQL注入漏洞。攻击者可利用该漏洞获取敏感信息 app="泛微-协同办公OA"

在/general/index/UploadFile.php中上传文件过滤不严格导致允许无限制地上传文件，攻击者可以通过该漏洞直接获取网站权限 app="泛微-协同办公OA" || app="Weaver-OA"

由于泛微e-cology9中对用户前台输入的数据未做校验，可以通过构造恶意的数据包导致SQL注入漏洞，进一步获取敏感数据。 fofa-query: app="泛微-协同商务系统" shodan-query: 'ecology_JSessionid' Hunter: title=="泛微-协同软件的精英团队，我们的目标：造就协同软件第一品牌！" hex(hex(hex(a' union select 1,''+(SELECT @@VERSION)+')))

泛微云桥（e-Bridge）是上海泛微公司在”互联网+”的背景下研发的一款用于桥接互联网开放资源与企业信息化系统的系统集成中间件。泛微云桥存在任意文件读取漏洞，攻击者成功利用该漏洞，可实现任意文件读取，获取敏感信息。 title="泛微云桥e-Bridge"

泛微OA ecology V9前台任意上传漏洞 app="Weaver-OA"

泛微OA E-Office officeserver.php文件存在任意文件读取漏洞，攻击者通过漏洞可以下载服务器上的任意文件 app="泛微-EOffice"

泛微OA e-cology 文件下载目录遍历 app="Weaver-OA"

fofa-query: app="泛微-协同办公OA"

泛微OA HrmCareerApplyPerView.jsp文件存在SQL注入漏洞，攻击者通过漏洞可以读取服务器敏感文件 app="泛微-协同办公OA"

泛微e-cology是专为大中型企业制作的OA办公系统,支持PC端、移动端和微信端同时办公等，其中 jqueryFileTree.jsp 文件中 dir 参数存在目录遍历漏洞，攻击者通过漏洞可以获取服务器文件目录信息 app="泛微-协同办公OA"

泛微协同管理平台e-weaver继承e-cology八大功能模块应用，并可进一步打通企业更深层的个性管理需求，基于协同思想打造全面整合企业管理资源的环境。e-weaver基于工作流引擎＋卡片/表单＋组件模式，全面开放已有八大功能的配置应用，同时还可以根据用户个性的管理需求，增添企业独立的应用模块功能，从而形成完全符合自身企业的全面协同管理应用解决方案。泛微OA e-weaver平台SignatureDownLoad处存在敏感信息泄露漏洞，攻击者通过漏洞可以获取数据库服务器权限。 fofa-query: app="泛微-E-Weaver"

泛微OA e-cology syncuserinfo SQL注入漏洞 app="Weaver-OA"

泛微OA V8 存在SQL注入漏洞，攻击者可以通过漏洞获取管理员权限和服务器权限 app="泛微-协同办公OA"

泛微OA e-cology validate SQL注入漏洞 app="Weaver-OA"

泛微OA E-Cology VerifyQuickLogin.jsp文件中存在任意管理员登录漏洞，攻击着通过发送特殊的请求包可以获取管理员Session app="泛微-协同办公OA"

2019年10月10日CNVD发布了泛微e-cology OA系统存在SQL注入漏洞。该漏洞是由于OA系统的WorkflowCenterTreeData接口中涉及Oracle数据库的SQL语句缺乏安全检查措施所导致的，任意攻击者都可借SQL语句拼接时机注入恶意payload，造成SQL注入攻击。影响版本：使用Oracle数据库的泛微服务 fofa-query: app="Weaver-OA"

泛微 OA filedownloadforoutdoc interface has SQL injection

泛微e-cology某处功能点最初针对用户输入的过滤不太完善，导致在处理用户输入时可触发XXE。后续修复规则依旧可被绕过，本次漏洞即为之前修复规则的绕过。攻击者可利用该漏洞列目录、读取文件，甚至可能获取应用系统的管理员权限。 e-cology 9.x 增量补丁版本 < 10.58.1 FOFA: app="泛微-协同商务系统" FOFA: app="泛微-协同办公OA"

泛微 E-cology 是一个集企业信息门户、知识管理、数据中心、工作流管理、人力资源管理、客户与合作伙伴管理、项目管理、财务管理、资产管理等功能于一体的协同业务平台。泛微E-Cology deleteUserRequestInfoByXml 存在XXE漏洞，攻击者可以利用该漏洞读取系统任意文件内容。

泛微OA系统在/weaver/weaver.file.FileDownloadForOutDoc接口中存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句，未经授权地访问数据库中的敏感信息，可能导致数据泄露、篡改或破坏。

该系统存在SQL注入漏洞，攻击者可以构造恶意sql语句并执行，获取数据库敏感信息以及权限。

2025年7月，泛微官方发布v10.76补丁修复了一处 SQL注入漏洞，经分析，攻击者可利用此漏洞获取服务器敏感信息，如结合其他后台漏洞可导致代码执行，最终造成服务器沦陷。

远程代码执行漏洞是指攻击者通过某些漏洞在服务器上执行任意代码，这通常是由于应用程序对外部输入的验证不足或处理不当造成的。攻击者可以利用这个漏洞上传恶意代码或直接通过HTTP请求发送恶意代码，从而控制服务器，进行包括数据窃取、网站篡改、服务器资源滥用等在内的多种恶意行为。

权限提升漏洞是指攻击者可以利用系统或应用程序中的安全缺陷，获取比原本授予更高的权限。这种漏洞通常由于系统配置错误、程序逻辑缺陷、访问控制不当等原因造成。攻击者可能通过获取更高级别权限或获取同级别其他用户权限的方式来扩大其访问范围和控制能力。

远程代码执行漏洞是指攻击者通过某些漏洞在服务器上执行任意代码，这通常是由于应用程序对外部输入的验证不足或处理不当造成的。攻击者可以利用这个漏洞上传恶意代码或直接通过HTTP请求发送恶意代码，从而控制服务器，进行包括数据窃取、网站篡改、服务器资源滥用等在内的多种恶意行为。

泛微OA E-cology /mobile/plugin/plugin.xml 未授权访问漏洞，攻击者可利用此漏洞获取文件敏感数据。

SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码，从而绕过应用程序的安全措施，直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下，使得攻击者能够获取、修改或删除数据库中的数据，甚至可能执行服务器上的任意代码。

文件上传漏洞发生在应用程序允许用户上传文件的功能中，如果上传功能未能正确地验证和限制上传文件的类型和内容，攻击者可能利用此漏洞上传恶意文件，如包含可执行代码的脚本文件，从而在服务器上执行任意命令，控制或破坏系统。

XXE漏洞，即XML外部实体注入漏洞，是由于应用程序处理XML输入时，未正确配置或过滤外部实体引用导致的安全漏洞。攻击者可以通过构造恶意XML数据，导致服务器端信息泄露、拒绝服务攻击、远程代码执行等严重后果。

XXE漏洞，即XML外部实体注入漏洞，是由于应用程序处理XML输入时，未正确配置或过滤外部实体引用导致的安全漏洞。攻击者可以通过构造恶意XML数据，导致服务器端信息泄露、拒绝服务攻击、远程代码执行等严重后果。

SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码，从而绕过应用程序的安全措施，直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下，使得攻击者能够获取、修改或删除数据库中的数据，甚至可能执行服务器上的任意代码。

SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码，从而绕过应用程序的安全措施，直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下，使得攻击者能够获取、修改或删除数据库中的数据，甚至可能执行服务器上的任意代码。

SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码，从而绕过应用程序的安全措施，直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下，使得攻击者能够获取、修改或删除数据库中的数据，甚至可能执行服务器上的任意代码。

SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码，从而绕过应用程序的安全措施，直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下，使得攻击者能够获取、修改或删除数据库中的数据，甚至可能执行服务器上的任意代码。

SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码，从而绕过应用程序的安全措施，直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下，使得攻击者能够获取、修改或删除数据库中的数据，甚至可能执行服务器上的任意代码。

远程代码执行漏洞是指攻击者通过某些漏洞在服务器上执行任意代码，这通常是由于应用程序对外部输入的验证不足或处理不当造成的。攻击者可以利用这个漏洞上传恶意代码或直接通过HTTP请求发送恶意代码，从而控制服务器，进行包括数据窃取、网站篡改、服务器资源滥用等在内的多种恶意行为。

远程代码执行漏洞是指攻击者通过某些漏洞在服务器上执行任意代码，这通常是由于应用程序对外部输入的验证不足或处理不当造成的。攻击者可以利用这个漏洞上传恶意代码或直接通过HTTP请求发送恶意代码，从而控制服务器，进行包括数据窃取、网站篡改、服务器资源滥用等在内的多种恶意行为。

SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码，从而绕过应用程序的安全措施，直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下，使得攻击者能够获取、修改或删除数据库中的数据，甚至可能执行服务器上的任意代码。

SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码，从而绕过应用程序的安全措施，直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下，使得攻击者能够获取、修改或删除数据库中的数据，甚至可能执行服务器上的任意代码。

SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码，从而绕过应用程序的安全措施，直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下，使得攻击者能够获取、修改或删除数据库中的数据，甚至可能执行服务器上的任意代码。

泛微OA E-Colgy是一款面向中大型组织的数字化办公产品，它基于全新的设计理念和管理思想，旨在为中大型组织创建一个全新的高效协同办公环境。泛微OAE-Cology /users.data存在敏感信息泄露漏洞，攻击者利用此漏洞可以获取系统敏感信息。

泛微 OA 存在目录遍历漏洞。此漏洞是由于fileDownload.jsp对于用户发送的请求缺乏校验导致的。

泛微OA ecology存在敏感信息泄露及越权登录漏洞，攻击者可能利用泄露的信息进行进一步的攻击，如身份盗窃、欺诈、数据篡改等。

XXE漏洞，即XML外部实体注入漏洞，是由于应用程序处理XML输入时，未正确配置或过滤外部实体引用导致的安全漏洞。攻击者可以通过构造恶意XML数据，导致服务器端信息泄露、拒绝服务攻击、远程代码执行等严重后果。

敏感信息泄露漏洞是指由于系统或应用程序的安全措施不足，导致敏感信息（如用户数据、系统配置、内部通信等）被未授权的第三方获取。这种漏洞可能由于不当的配置、缺乏访问控制、不安全的数据处理和传输等原因造成。攻击者可能利用泄露的信息进行进一步的攻击，如身份盗窃、欺诈、数据篡改等。

泛微E-cology存在SQL注入漏洞。该漏洞出现在/rest/ofs/ProcessOverRequestByJson 路径中，攻击者可以通过在注入恶意SQL代码来操纵数据库。在攻击者成功利用此漏洞后，可以执行任意SQL命令，从而读取、修改或删除数据库中的敏感数据。

泛微OA存在SQL注入漏洞。该漏洞出现在 /services/HrmService 路径中，攻击者可以通过在注入恶意SQL代码来操纵数据库。在攻击者成功利用此漏洞后，可以执行任意SQL命令，从而读取、修改或删除数据库中的敏感数据。

泛微OA存在SQL注入漏洞。该漏洞出现在/weaver/weaver.email.FileDownloadLocation路径中，攻击者可以通过在注入恶意SQL代码来操纵数据库。在攻击者成功利用此漏洞后，可以执行任意SQL命令，从而读取、修改或删除数据库中的敏感数据。

远程代码执行漏洞是指攻击者通过某些漏洞在服务器上执行任意代码，这通常是由于应用程序对外部输入的验证不足或处理不当造成的。攻击者可以利用这个漏洞上传恶意代码或直接通过HTTP请求发送恶意代码，从而控制服务器，进行包括数据窃取、网站篡改、服务器资源滥用等在内的多种恶意行为。

泛微 OA 是泛微旗下的一款标准协同移动办公平台。泛微 OA getLabelByModule 存在SQL注入漏洞。攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。

SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码，从而绕过应用程序的安全措施，直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下，使得攻击者能够获取、修改或删除数据库中的数据，甚至可能执行服务器上的任意代码。

SSRF漏洞，即服务器端请求伪造漏洞，是由于服务器端应用程序在处理客户端请求时，未正确验证和过滤URL参数，导致攻击者可以通过构造特定的URL参数，使服务器发起到内部网络或本地的请求。这种漏洞允许攻击者获取内部服务的敏感信息，执行内部网络扫描，甚至可能触发内部服务的漏洞，造成严重的安全威胁。

SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码，从而绕过应用程序的安全措施，直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下，使得攻击者能够获取、修改或删除数据库中的数据，甚至可能执行服务器上的任意代码。

敏感信息泄露漏洞是指由于系统或应用程序的安全措施不足，导致敏感信息（如用户数据、系统配置、内部通信等）被未授权的第三方获取。这种漏洞可能由于不当的配置、缺乏访问控制、不安全的数据处理和传输等原因造成。攻击者可能利用泄露的信息进行进一步的攻击，如身份盗窃、欺诈、数据篡改等。

泛微OA Validator.ifNewsCheckOutByCurrentUser SQL注入漏洞。

泛微OA ProcessOverRequestByXml 任意文件读取漏洞

泛微系统cloudstore/system/#/sys接口存在未授权访问

Weaver e-cology是中国泛微（Weaver）公司的一套协同管理应用平台。 泛微OA e-cology mobilemode/Action.jsp com.weaver.formmodel.mobile.skin.SkinAction存在任意文件上传漏洞，攻击者可上传符合格式的恶意zip压缩文件获取服务器权限

泛微OA 存在远程命令执行漏洞

泛微OA E-cology 系统 /js/hrm/getdata.jsp 接口存在用户名枚举漏洞，攻击者可通过暴力破解的方式来枚举已注册用户名

泛微 e-cology OA是一个集企业信息门户、知识管理、数据中心、工作流管理、人力资源管理、客户与合作伙伴管理、项目管理、财务管理、资产管理等功能于一体的协同业务平台。泛微OA E-Cology 存在XXE漏洞。

泛微OA 后台存在任意文件上传漏洞

泛微e-cology是专为大中型企业制作的OA办公系统,支持PC端、移动端和微信端同时办公等。泛微e-cology存在SQL注入漏洞。攻击者可利用该漏洞获取敏感信息。

泛微OA 是一款专业强大的多功能办公管理软件，支持移动审批、考勤、查阅、共享等功能，有效的提高了用户的办公效率。泛微OA weaver.mobile.plugin.ecology.service.PluginViewServlet存在认证绕过漏洞，攻击者可实现任意登录获取管理员权限。

泛微 e-cology OA是一个集企业信息门户、知识管理、数据中心、工作流管理、人力资源管理、客户与合作伙伴管理、项目管理、财务管理、资产管理等功能于一体的协同业务平台。泛微OA E-Cology 存在XXE漏洞。

Weaver e-cology是中国泛微（Weaver）公司的一套协同管理应用平台。 Weaver e-cology OA Action.jsp 文件存在文件上传漏洞。

泛微OA E-Office mysql数据库信息泄漏，攻击者可利用此漏洞获取数据库敏感信息。

泛微OA uploadFileClient.jsp 存在任意文件上传漏洞

泛微OA weaver.common.Ctrl 存在未授权任意文件上传漏洞，攻击者可直接上传任意文件，进而控制服务器

泛微e-cology是专为大中型企业制作的OA办公系统,支持PC端、移动端和微信端同时办公等。泛微e-cology存在任意文件上传漏洞。攻击者可利用该漏洞获取敏感信息。

泛微e-cology是专为大中型企业制作的OA办公系统,支持PC端、移动端和微信端同时办公等。泛微e-cology存在SQL注入漏洞。攻击者可利用该漏洞获取敏感信息。

泛微OA 路径下可未授权上传压缩文件且可自解压，从而导致任意文件上传且可上传webshell

泛微OA E-cology WorkflowServiceXml 存在soap注入，攻击者可构造代码执行命令

泛微OA8 前台存在SQL注入漏洞，黑客可以直接执行SQL语句，从而控制整个服务器：获取数据、修改数据、删除数据等

泛微OA/page/exportImport/uploadOperation.jsp存在任意文件上传漏洞。攻击者可通过上传WebShell文件，黑客可以获取系统权限等，从而控制整个服务器：获取数据、修改数据、删除数据等

泛微 e-cology OA 远程代码执行漏洞指的是由于泛微 e-cology OA 系统的 JAVA Beanshell 接口可被未授权访问，调用该 Beanshell 接口，可构造特定的 HTTP 请求绕过泛微本身一些安全限制从而达成远程命令执行。攻击者一旦利用成功即可在目标系统上执行任意命令，如获取、更改或者删除敏感数据，甚至通过提权控制服务器，危害较大。

【漏洞对象】泛微-协同商务系统 【涉及版本】泛微-协同商务系统(ecology8)【漏洞描述】泛微OA办公系统是一个能向企业提供一个协同的、集成的办公环境,使所有的办公人员都在统一且个性化的信息门户中一起工作,摆脱时间和地域的限制,实现协同工作与知识管理的系统。由于配置不当，造成了在ln.FileDownload处可以进行任意license文件的下载和读取，从而泄露了大量的敏感信息。

【漏洞对象】泛微OA 【涉及版本】泛微OA【漏洞描述】泛微OA办公系统是一个能向企业提供一个协同的、集成的办公环境,使所有的办公人员都在统一且个性化的信息门户中一起工作,摆脱时间和地域的限制,实现协同工作与知识管理的系统。由于配置不当，造成了对数据库配置文件/WEB-INF/prop/weaver.properties的读取，从而泄露了数据库用户名和密码等敏感信息。

上海泛微网络科技股份有限公司成立于2001年，专注于协同管理软件领域，并致力于以协同OA为核心帮助企业构建全员统一的移动办公平台。其中该系统存在users.data未授权访问的问题，需要对该文件进行删除或者禁止访问。

早期的泛微OA7在/web/careerapply/HrmCareerApplyAdd.jsp接口存在未授权访问和SQL注入，参数id存在SQL注入漏洞，攻击者可以通过此漏洞获取系统数据库中敏感信息。

早期的泛微OA7在/page/element/news/more.jsp接口存在未授权访问和SQL注入，参数id存在SQL注入漏洞，攻击者可以通过此漏洞获取系统数据库中敏感信息。

早期的泛微OA7在/meeting/Maint/MeetingTypeCheck.jsp接口存在未授权访问和SQL注入，参数fileid可以用于遍历附件，泄露敏感信息。同时该参数也存在SQL注入漏洞，攻击者可以通过此漏洞获取系统数据库中敏感信息。

早期的泛微OA7在/web/careerapply/HrmCareerApplyWorkView.jsp接口存在未授权访问和SQL注入，参数id存在SQL注入漏洞，攻击者可以通过此漏洞获取系统数据库中敏感信息。

早期的泛微OA7在/web/careerapply/HrmCareerApplyWorkEdit.jsp接口存在未授权访问和SQL注入，参数id存在SQL注入漏洞，攻击者可以通过此漏洞获取系统数据库中敏感信息。

早期的泛微OA7在/web/careerapply/HrmCareerApplyPerView.jsp接口存在未授权访问和SQL注入，参数id存在SQL注入漏洞，攻击者可以通过此漏洞获取系统数据库中敏感信息。

早期的泛微OA7在/web/careerapply/HrmCareerApplyPerEdit.jsp接口存在未授权访问和SQL注入，参数id存在SQL注入漏洞，攻击者可以通过此漏洞获取系统数据库中敏感信息。

早期的泛微OA7在/pweb/careerapply/HrmCareerApplyWorkEdit.jsp接口存在未授权访问和SQL注入，参数id存在SQL注入漏洞，攻击者可以通过此漏洞获取系统数据库中敏感信息。

早期的泛微OA7在/pweb/careerapply/HrmCareerApplyWorkEdit.jsp接口存在未授权访问和SQL注入，参数id存在SQL注入漏洞，攻击者可以通过此漏洞获取系统数据库中敏感信息。

早期的泛微OA7在/pweb/careerapply/HrmCareerApplyPerView.jsp接口存在未授权访问和SQL注入，参数id存在SQL注入漏洞，攻击者可以通过此漏洞获取系统数据库中敏感信息。

早期的泛微OA7在/pweb/careerapply/HrmCareerApplyPerEdit.jsp接口存在未授权访问和SQL注入，参数id存在SQL注入漏洞，攻击者可以通过此漏洞获取系统数据库中敏感信息。

早期的泛微OA7在/weaver/weaver.email.FileDownloadLocatio接口存在未授权访问和SQL注入，参数fileid可以用于遍历附件，泄露敏感信息。同时该参数也存在SQL注入漏洞，攻击者可以通过此漏洞获取系统数据库中敏感信息。

泛微OA/page/exportImport/uploadOperation.jsp文件存在任意文件上传漏洞，攻击者可以直接上传任意后缀的文件，上传之后的目录在/page/exportImport/fileTransfer/，并且系统没有对上传文件进行重命名。

泛微提供了移动办公、微信办公、协同办公(OA)、流程管理、信息门户、知识管理、费控管理等功能，适用于手机和pc端，是当今比较主流的OA系统之一。泛微OA系统的WorkflowCenterTreeData接口在收到用户输入的时候未进行安全过滤，oracle数据库传入恶意SQL语句，导致SQL漏洞。

泛微OA远程代码执行漏洞，泛微e-cology OA系统的JAVABeanshell接口可被未授权访问，攻击者调用该Beanshell接口，可构造特定的HTTP请求绕过泛微本身一些安全限制从而达成远程命令执行。

泛微OA系统 SyncUserInfo.jsp接口认证不严，导致可以绕过认证访问信息页面，并通过获得的 loginpass 信息，通过默认密码登录该系统

【漏洞对象】泛微协同办公系统 【漏洞描述】该系统/iweboffice/officeserver.php文件TEMPLATE参数存在任意文件上传漏洞，可以上传恶意文件到服务器，获取服务器权限。

【漏洞对象】泛微协同办公OA系统 【漏洞描述】泛微协同办公OA系统的/js/jquery/plugins/jqueryFileTree/connectors/jqueryFileTree.jsp文件dir参数信息泄露，可利用泄漏的敏感信息，获取网站服务器web路径。

【漏洞对象】泛微OA通用系统 【漏洞描述】 攻击者可以利用SQL注入漏洞来获取数据库敏感信息，甚至获取服务器权限。

【漏洞对象】泛微协同办公OA系统 【漏洞描述】泛微协同办公OA系统的/pweb/careerapply/HrmCareerApplyWorkView.jsp文件id参数存在sql注入,可造成信息数据泄露，攻击者可利用该漏洞执行SQL指令，甚至入侵服务器。

【漏洞对象】泛微协同办公OA系统 【漏洞描述】泛微协同办公OA系统的/pweb/careerapply/HrmCareerApplyWorkEdit.jsp文件id参数存在sql注入，可造成信息数据泄露，攻击者可利用该漏洞执行SQL指令，甚至入侵服务器。。

【漏洞对象】泛微协同办公OA系统 【涉及版本】泛微协同办公OA系统 【漏洞描述】泛微协同办公OA系统的/pweb/careerapply/HrmCareerApplyPerView.jsp文件id参数存在sql注入，可造成信息数据泄露，攻击者可利用该漏洞执行SQL指令，甚至入侵服务器。

【漏洞对象】泛微协同办公OA系统 【漏洞描述】泛微协同办公OA系统的/pweb/careerapply/HrmCareerApplyPerEdit.jsp文件id参数存在sql注入，可造成信息数据泄露，攻击者可利用该漏洞执行SQL指令，甚至入侵服务器。

【漏洞对象】泛微oa协同办公系统 【漏洞描述】该系统/ServiceAction/com.eweaver.base.DataAction文件sql参数可以执行任意sql语句，从而导致sql注入漏洞。