【已复现】泛微 E-cology9 未授权SQL注入漏洞
原文链接: https://mp.weixin.qq.com/s?__biz=Mzk0ODM3NTU5MA==&mid=2247494208&idx=1&sn=101fa901a50f4681cd39776d41edc29d
【已复现】泛微 E-cology9 未授权SQL注入漏洞
原创 360漏洞研究院 360漏洞研究院 2025-07-10 07:44
|
漏洞概述 |
|||
|
漏洞名称 |
泛微 E-cology9 未授权SQL注入漏洞 |
||
|
漏洞编号 |
LDYVUL-2025-00089221 |
||
|
公开时间 |
2025-07-09 |
POC状态 |
已公开 |
|
漏洞类型 |
SQL注入 |
EXP状态 |
已公开 |
|
利用可能性 |
高 |
技术细节状态 |
已公开 |
|
CVSS 3.1 |
7.5 |
在野利用状态 |
未发现 |
01
影响组件
泛微协同管理应用平台(E-cology)是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台,形成了一系列的通用解决方案和行业解决方案。该平台广泛应用于各类企业和组织的日常办公和业务管理中。
02
漏洞描述
近日,泛微官方披露了一个严重
的泛微 E-cology9 未授权 SQL 注入
漏洞。未经身份认证的远程攻击者可以通过构造特殊的 HTTP 请求,在目标系统上执行任意 SQL 查询
语句,成功的利用该漏洞可获取系统敏感信息
,当数据库为 SQL Server 时可能进一步利用获取目标系统的代码执行
权限。
03
漏洞复现****
360漏洞研究院已复现泛微 E-cology9 SQL注入漏洞,通过延时注入的方式(延时 4 秒)进行了验证。
发起 SQL 注入请求
触发泛微 E-cology9 未授权SQL注入
04
漏洞影响范围****
影响以下版本的泛微产品:
E-cology9 < 10.76
05
修复建议****
正式防护方案
官方已发布新版本中修复上述漏洞,受影响用户请尽快升级到安全版本。
漏洞修复版本:
泛微 E-cology9 >= 10.76
临时缓解措施
尽量不要将该服务器暴露在公网,或通过防火墙规则限制能够访问该服务器的IP地址为可信IP。
06
产品侧支持情况
360测绘云 Quake
:默认支持该产品的指纹识别。
360高级持续性威胁预警系统
:已具备该漏洞的检测能力。告警ID为:60129498,建议用户尽快升级检测规则库。
360资产与漏洞检测管理系统
:预计 2025年7月11日 发布规则更新包,支持该漏洞利用行为的检测。
本地安全大脑
:默认支持该漏洞的PoC检测。
07
时间线
2025年7月10日,360漏洞研究院发布本安全风险通告。
08
参考链接
https://www.weaver.com.cn/cs/securityDownload.html
09
更多漏洞情报
建议您订阅360数字安全-漏洞情报服务,获取更多漏洞情报详情以及处置建议,让您的企业远离漏洞威胁。
网址:https://vi.loudongyun.360.net
“洞”悉网络威胁,守护数字安全
关于我们
360 漏洞研究院,隶属于360数字安全集团。其成员常年入选谷歌、微软、华为等厂商的安全精英排行榜, 并获得谷歌、微软、苹果史上最高漏洞奖励。研究院是中国首个荣膺Pwnie Awards“史诗级成就奖”,并获得多个Pwnie Awards提名的组织。累计发现并协助修复谷歌、苹果、微软、华为、高通等全球顶级厂商CVE漏洞3000多个,收获诸多官方公开致谢。研究院也屡次受邀在BlackHat,Usenix Security,Defcon等极具影响力的工业安全峰会和顶级学术会议上分享研究成果,并多次斩获信创挑战赛、天府杯等顶级黑客大赛总冠军和单项冠军。研究院将凭借其在漏洞挖掘和安全攻防方面的强大技术实力,帮助各大企业厂商不断完善系统安全,为数字安全保驾护航,筑造数字时代的安全堡垒。
“扫描上方二维码,进入公众号粉丝交流群。更多一手网安咨询、漏洞预警、技术干货和技术交流等您参与!”