一、漏洞簡介

泛微 E-Cology9 協(xie)同(tong)辦公(gong)系統是一(yi)套基于 JSP 及 SQL Server 數據庫的(de) OA 系統，包括知識文檔管(guan)理、人(ren)(ren)力資源管(guan)理、客戶(hu)關系管(guan)理、項目管(guan)理、財(cai)務(wu)管(guan)理、工作(zuo)流程管(guan)理、數據中心等(deng)打造協(xie)同(tong)高(gao)效的(de)企(qi)業管(guan)理環境(jing)，突(tu)破企(qi)業人(ren)(ren)、財(cai)、物、信息、流程等(deng)各種資源之間的(de)屏障，并(bing)將集團(tuan)各企(qi)業、企(qi)業各部門(men)、各分支機構(gou)、以及企(qi)業與外(wai)(wai)部的(de)供應商(shang)、分銷(xiao)商(shang)、客戶(hu)及其他合作(zuo)伙伴等(deng)整合在一(yi)個(ge)統一(yi)的(de)平臺上，使(shi)企(qi)業變成(cheng)一(yi)個(ge)電(dian)子(zi)化的(de)內外(wai)(wai)部協(xie)同(tong)工作(zuo)的(de)組織。

由于泛微e-cology9中對用(yong)戶前(qian)臺輸入(ru)的(de)數(shu)據未做校驗，可以通過構造惡意的(de)數(shu)據包(bao)導致(zhi)SQL注入(ru)漏洞(dong)，進一步獲取敏感(gan)數(shu)據

二、影響范圍

泛微e-cology V9 < 10.56

三、解決措施

目前(qian)官(guan)方已在最新版(ban)本(ben)中修(xiu)復了(le)該漏洞(dong)，請受(shou)影響的用戶盡快(kuai)升級版(ban)本(ben)至10.56及以上版(ban)本(ben)進行防(fang)護，最新版(ban)本(ben)下載(zai)鏈接如下：

//www.weaver.com.cn/cs/securityDownload.asp#

四、參(can)考(kao)鏈接(jie)

//www.seebug.org/vuldb/ssvid-99655