2019年10月10日，阿里云应急响应中心监测到国家信息安全漏洞共享平台（CNVD）披露了泛微e-cology OA系统前台SQL注入漏洞。攻击者通过构造特定的HTTP请求，成功利用漏洞可在目标服务器上执行SQL语句，风险极大。

漏洞描述

泛微e-cology OA系统的WorkflowCenterTreeData接口在使用Oracle数据库时,由于内置SQL语句拼接不严,导致泛微e-cology OA系统存在SQL注入漏洞。攻击者利用该漏洞，可在未授权的情况下，远程发送精心构造的SQL语句，从而获取数据库敏感信息。阿里云应急响应中心已捕获该0day漏洞利用方式，漏洞真实存在且风险极大，阿里云应急响应中心提醒泛微e-cology OA用户尽快采取安全措施阻止漏洞攻击。

影响版本

泛微e-cology OA系统 JSP版

安全建议

泛微e-cology OA系统为商业软件，泛微官方已发布安全更新补丁，请及时下载更新。

官方补丁下载地址：https://www.weaver.com.cn/cs/securityDownload.asp

EC7.0及以下版本安全补丁: https://www.weaver.com.cn/cs/package/Ecology_security_20191010_v6.28.zip

EC8.0及以上版本安全补丁: https://www.weaver.com.cn/cs/package/Ecology_security_20191010_v10.18.zip

云盾WAF已可防御此漏洞攻击

云盾漏洞扫描已支持对该漏洞检测

云盾云安全中心应急漏洞模块已支持对该漏洞一键检测

相关链接

https://www.cnvd.org.cn/webinfo/show/5235

我们会关注后续进展，请随时关注官方公告。