一 漏洞概述

泛微e-cology OA系统前台SQL注入漏洞。攻击者通过构造特定的HTTP请求，成功利用漏洞可在目标服务器上执行SQL语句，风险极大。
泛微e-cology OA系统的WorkflowCenterTreeData接口在使用Oracle数据库时,由于内置SQL语句拼接不严,导致泛微e-cology OA系统存在SQL注入漏洞。

二 漏洞危害

攻击者利用该漏洞，可在未授权的情况下，远程发送精心构造的SQL语句，从而获取数据库敏感信息。

三 影响版本

泛微e-cology OA系统 JSP版

四 复现过程

无

五 影响范围

根据 ZoomEye 网络空间搜索引擎[1]对关键字 “e-cology” 进行搜索，共得到 35 条 IP 历史记录，主要分布在中国、美国等国家。

六 修复建议

厂商尚未提供漏洞修复方案，请关注厂商主页更新：http://www.weaver.com.cn/

七 相关链接

ZoomEye 网络空间搜索引擎：https://www.zoomeye.org/searchResult?q=e-cology