漏洞风险提示 | 泛微 Ecology OA SQL 注入漏洞

## 事件源\r

泛微协同管理应用平台（e-cology）是集企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心等功能于一体的大型企业协同管理平台。 \r

生态官方于4月18日发布补丁更新，修复了摩云科技安全研究员报告的SQL注入漏洞。 \r

## 漏洞描述\r

盘维生态OA系统对用户传入的数据进行不当过滤，导致SQL注入漏洞。远程且未经身份验证的攻击者可以利用此漏洞进行SQL注入攻击并窃取敏感数据库信息。 \r

经查亭科技安全研究人员分析，确认该漏洞同时影响Ecology 9和Ecology 8版本系列。使用盘维生态的用户需要尽快更新升级补丁。 \r

#### **远程检测工具**：\r

复制链接：https://stack.chaitin.com/tool/detail?id=1 前往xray - CT Stack 安全社区下载最新版本的xray。 \r

执行：/xray ws --poc poc-yaml-weaver-ecology-oa-plugin-checkserver-setting-sqli --url http://example.com 进行扫描。 \r

## 影响范围\r

\r

- 盘微生态9.x补丁版本号=v10.56\r

- 盘微生态8.x补丁版本号=v10.56\r

## 解决方案\r

目前官方已发布安全补丁修复该漏洞。用户可以更新安全补丁至v10.57版本来修复该漏洞：\r

https://www.weaver.com.cn/cs/securityDownload.html?src=cn\r

## 产品支持\r

雷驰：默认支持该漏洞检测\r

QuanXi :默认支持检测该漏洞利用\r

云图：默认支持本产品的指纹识别，也支持该漏洞的PoC原理检测\r

洞察：定制化POC原理扫描检测\r

牧云：在CTStack社区发布了漏洞排查工具，下载链接https://stack.chaitin.com/tool/detail?id=758\r

## 参考文献\r

https://www.weaver.com.cn/cs/securityDownload.html?src=cn\r

https://mp.weixin.qq.com/s/MbGaTNNYSlJlQeqQ-5_KSw