【漏洞预警】泛微E-cology前台远程代码执行漏洞风险通告

原创 MasterC 企业安全实践 2025-04-23 07:50

一、漏洞描述

泛微E-cology是一款企业级协同办公自动化系统，主要为中大型企业提供全面的信息化解决方案。它以智能化、平台化和全程数字化为特点，是泛微网络科技有限公司开发的一款业务流程管理(BPM)和协同办公(Collaboration)平台。

近日，互联网上披露了关于泛微E-cology中存在一个远程代码执行漏洞。在受影响版本中，该漏洞源于未对用户的输入进行有效的过滤，直接将用户可控的参数拼接成SQL语句，且该接口经过DES加密传输，导致全局WAF失效，造成SQL注入漏洞。攻击者可利用该漏洞向数据库中写入数据，并利用Ole组件导出为webshell，成功利用可导致远程代码执行、获取服务器权限等严重危害。该漏洞对应的NVDB编号为NVDB-CNVDB-2025530957，该漏洞影响较高，请受影响的用户做好安全加固措施。

二、漏洞等级

高

三、影响范围

泛微E-cology补丁版本号 ＜= V10.73

四、安全版本

泛微E-cology补丁版本号 >= V10.74

五、修复建议

目前官方已修复该漏洞，建议受影响用户尽快前往官网升级至安全补丁版本。

六、缓解方案

如非必要，避免将资产暴露在互联网。

七、参考链接

https://www.weaver.com.cn/cs/securityDownload.html