【已复现】泛微e-cology 前台SQL注入漏洞
2025-10-30 15:35 北京
检测业务是否受到此漏洞影响,请联系长亭应急服务团队!
泛微e-cology是一款由泛微网络科技开发的协同管理平台,支持人力资源、财务、行政等多功能管理和移动办公。
2025年10月,长亭安全应急响应中心监测到泛微e-cology修复了多处SQL注入漏洞。经分析,攻击者可利用此漏洞获取服务器敏感信息,如结合其他后台漏洞可能导致代码执行,最终造成服务器沦陷,建议受影响的用户尽快修复漏洞。
漏洞描述
Description
01
漏洞成因
E-cology系统在构建SQL语句时直接拼接用户可控参数,且未对输入进行充分过滤,这导致了SQL注入漏洞。当系统处理用户提交的恶意参数时,攻击者可利用该漏洞向数据库中注入任意SQL命令。
漏洞影响
攻击者可利用此漏洞获取敏感信息,进一步利用可能获取目标系统权限。
处置优先级:高
漏洞类型:SQL注入
漏洞危害等级:高
触发方式:网络远程
权限认证要求:无需权限
系统配置要求:默认配置
用户交互要求:无需用户交互
利用成熟度:POC/EXP 未公开
修复复杂度:低,官方提供补丁修复方案
影响版本
Affects
02
泛微e-cology 补丁版本 < v10.79
解决方案
Solution
03
临时缓解方案限制访问来源地址,如非必要,不要将系统开放在互联网上
限制访问来源地址,如非必要,不要将系统开放在互联网上
升级修复方案官方已发布安全补丁,下载地址:
漏洞复现
Reproduction
04
长亭应急响应实验室安全研究员已成功复现泛微e-cology 前台SQL注入漏洞,验证截图如下:
产品支持
Support
05
云图:默认支持该产品的指纹识别,同时支持该漏洞的PoC检测
洞鉴:预计2025年10月30日支持原理自定义PoC检测
雷池:默认支持检测
全悉:默认支持检测
无锋:预计2025年10月30日支持PoC检测
官方已发布安全补丁,下载地址:
漏洞复现
Reproduction
04
长亭应急响应实验室安全研究员已成功复现泛微e-cology 前台SQL注入漏洞,验证截图如下:
产品支持
Support
05
云图:默认支持该产品的指纹识别,同时支持该漏洞的PoC检测
洞鉴:预计2025年10月30日支持原理自定义PoC检测
雷池:默认支持检测
全悉:默认支持检测
无锋:预计2025年10月30日支持PoC检测
时间线
Timeline
06
2025年10月29日 长亭安全应急响应中心收到漏洞情报
2025年10月29日 长亭应急响应实验室完成漏洞分析与复现
2025年10月30日 长亭安全应急响应中心发布通告
长亭应急响应服务
目录
最新
- 【0day预警】ComfyUI-Manager CRLF注入导致远程代码执行漏洞
- 【已复现】n8n 前台远程代码执行漏洞(CVE-2026-21858)
- 【已复现】ComfyUI-Manager 远程代码执行漏洞(CVE-2025-67303)
- 【已复现】MongoDB 未授权内存泄露漏洞(CVE-2025-14847)
- 【已复现】FineReport 帆软报表前台远程代码执行漏洞
- 【已复现】Gogs 远程命令执行漏洞(CVE-2025-8110)
- 【在野利用】Dify Docker部署仍存在React2Shell风险
- 【已复现】React Server Components 远程代码执行漏洞(CVE-2025-55182)