一 漏洞概述

上海泛微网络科技股份有限公司专注于协同管理软件领域，并致力于以协同OA为核心帮助企业构建全员统一的移动办公平台。
该公司开发的泛微E-cology OA系统存在通用漏洞，某个文件未授权访问，攻击者可直接构造语句进行绕过注入。目前，该漏洞处于0Day状态，官方尚未发布补丁，建议各单位联系厂商获取补丁或更新。

二 漏洞危害

攻击者利用漏洞可实现代码注入攻击，攻击成功可能导致数据库信息泄露、服务器被入侵。

三 影响版本

泛微E-cologyOA系统 V9、V8版本（V7尚未测试）

四 复现过程

无

五 影响范围

根据 ZoomEye 网络空间搜索引擎[1]对关键字 “e-cology” 进行搜索，共得到 35 条 IP 历史记录，主要分布在中国、美国等国家。

六 修复建议

临时解决方案：

1、使用参数检查的方式，拦截带有SQL语法的参数传入应用程序；
2、使用预编译的处理方式处理拼接了用户参数的SQL语句；

3、在参数即将进入数据库执行之前，对SQL语句的语义进行完整性检查，确认语义没有发生变化；

4、在出现SQL注入漏洞时，要在出现问题的参数拼接进SQL语句前进行过滤或者校验，不要依赖程序最开始处防护代码；

5、定期审计数据库执行日志，查看是否存在应用程序正常逻辑之外的SQL 语句执行； 建议使用泛微e-cology OA系统构建网站的信息系统运营者进行自查，发现存在漏洞后，按照临时解决方案及时进行修复。

七 相关链接

ZoomEye 网络空间搜索引擎：https://www.zoomeye.org/searchResult?q=e-cology