【安全漏洞公告】泛微e-cology9 SQL注入漏洞（CNVD-2023-12632）

一、漏洞简介

泛微 E-Cology9 协同办公系统是一套基于 JSP 及 SQL Server 数据库的 OA 系统，包括知识文档管理、人力资源管理、客户关系管理、项目管理、财务管理、工作流程管理、数据中心等打造协同高效的企业管理环境，突破企业人、财、物、信息、流程等各种资源之间的屏障，并将集团各企业、企业各部门、各分支机构、以及企业与外部的供应商、分销商、客户及其他合作伙伴等整合在一个统一的平台上，使企业变成一个电子化的内外部协同工作的组织。

由于泛微e-cology9中对用户前台输入的数据未做校验，可以通过构造恶意的数据包导致SQL注入漏洞，进一步获取敏感数据

二、影响范围

泛微e-cology V9 < 10.56

三、解决措施

目前官方已在最新版本中修复了该漏洞，请受影响的用户尽快升级版本至10.56及以上版本进行防护，最新版本下载链接如下：

https://www.weaver.com.cn/cs/securityDownload.asp#

四、参考链接

https://www.seebug.org/vuldb/ssvid-99655