一 漏洞概述

近日泛微OA e-cology爆出一处接口未授权访问导致任意代码执行。
泛微OA e-cology是国内应用广泛的OA解决方案。e-cology平台以移动互联下的组织社交化转型需求为导向，采用轻前端重后端的设计思路，在前端面向用户提供个性化的办公平台，后端引擎帮助企业高效整合既有的it资源生成符合用户需求的it应用，并能够与e-mobile、移动集成平台等双剑合璧，帮助企业通过APP、微信、钉钉等多种路径实现移动协同办公。

二 漏洞危害

攻击者可以通过精心构造的请求包在受影响版本的泛微OA上进行远程代码执行。

三 影响版本

包括不限于泛微OA e-cology 7.0，8.0，8.1。

四 复现过程

无

五 影响范围

根据 ZoomEye 网络空间搜索引擎[1]对关键字 “e-cology” 进行搜索，共得到 35 条 IP 历史记录，主要分布在中国、美国等国家。

六 修复建议

1、 屏蔽/weaver/*目录的访问，等待官方发布补丁

七 相关链接

ZoomEye 网络空间搜索引擎：https://www.zoomeye.org/searchResult?q=e-cology