泛微OA E-Cology 漏洞列表

泛微OA E-Cology Action.jsp mobile.skin.SkinAction任意文件上传漏洞，攻击者可以利用该漏洞上传恶意文件执行任意命令，进而控制整个服务器。

2019年9月17日泛微OA官方更新了一个远程代码执行漏洞补丁, 泛微e-cology OA系统的Java Beanshell接口可被未授权访问, 攻击者调用该Beanshell接口, 可构造特定的HTTP请求绕过泛微本身一些安全限制从而达成远程命令执行, 漏洞等级严重 app="泛微-协同办公OA"

泛微e-cology是专为大中型企业制作的OA办公系统,支持PC端、移动端和微信端同时办公等。 泛微e-cology存在SQL注入漏洞。攻击者可利用该漏洞获取敏感信息 app="泛微-协同办公OA"

由于泛微e-cology9中对用户前台输入的数据未做校验，可以通过构造恶意的数据包导致SQL注入漏洞，进一步获取敏感数据。 fofa-query: app="泛微-协同商务系统" shodan-query: 'ecology_JSessionid' Hunter: title=="泛微-协同软件的精英团队，我们的目标：造就协同软件第一品牌！" hex(hex(hex(a' union select 1,''+(SELECT @@VERSION)+')))

泛微OA ecology V9前台任意上传漏洞 app="Weaver-OA"

泛微OA e-cology 文件下载目录遍历 app="Weaver-OA"

泛微OA HrmCareerApplyPerView.jsp文件存在SQL注入漏洞，攻击者通过漏洞可以读取服务器敏感文件 app="泛微-协同办公OA"

泛微e-cology是专为大中型企业制作的OA办公系统,支持PC端、移动端和微信端同时办公等，其中 jqueryFileTree.jsp 文件中 dir 参数存在目录遍历漏洞，攻击者通过漏洞可以获取服务器文件目录信息 app="泛微-协同办公OA"

泛微OA e-cology syncuserinfo SQL注入漏洞 app="Weaver-OA"

泛微OA V8 存在SQL注入漏洞，攻击者可以通过漏洞获取管理员权限和服务器权限 app="泛微-协同办公OA"

泛微OA e-cology validate SQL注入漏洞 app="Weaver-OA"

泛微OA E-Cology VerifyQuickLogin.jsp文件中存在任意管理员登录漏洞，攻击着通过发送特殊的请求包可以获取管理员Session app="泛微-协同办公OA"

2019年10月10日CNVD发布了泛微e-cology OA系统存在SQL注入漏洞。该漏洞是由于OA系统的WorkflowCenterTreeData接口中涉及Oracle数据库的SQL语句缺乏安全检查措施所导致的，任意攻击者都可借SQL语句拼接时机注入恶意payload，造成SQL注入攻击。影响版本：使用Oracle数据库的泛微服务 fofa-query: app="Weaver-OA"

泛微 E-cology 是一个集企业信息门户、知识管理、数据中心、工作流管理、人力资源管理、客户与合作伙伴管理、项目管理、财务管理、资产管理等功能于一体的协同业务平台。泛微E-Cology deleteUserRequestInfoByXml 存在XXE漏洞，攻击者可以利用该漏洞读取系统任意文件内容。

Weaver e-cology是中国泛微（Weaver）公司的一套协同管理应用平台。 泛微OA e-cology mobilemode/Action.jsp com.weaver.formmodel.mobile.skin.SkinAction存在任意文件上传漏洞，攻击者可上传符合格式的恶意zip压缩文件获取服务器权限