泛微 E-cology9 SQL注入漏洞

漏洞情况

近期，火山信安实验室监测发现，泛微 E-cology 作为一款广泛应用于国内企事业单位的企业级协同办公系统（OA），存在典型的 SQL 注入漏洞，攻击者可通过构造恶意输入绕过系统验证，直接操纵数据库查询，进而导致数据泄露、篡改或系统控制权被窃取。

0x01漏洞利用方式

攻击者通过输入特殊字符（如 '、--、OR 1=1）探测系统响应以判断是否存在 SQL 注入点，随后利用该漏洞获取用户账号、密码、组织架构等敏感信息，或通过注入修改管理员权限、创建后门账户实现系统控制；进一步利用 UNION SELECT 或盲注技术（如布尔盲注、时间盲注）提取数据库内容，篡改业务数据（如删除或修改合同、审批记录），甚至执行 DROP TABLE 等破坏性操作摧毁系统；最终可能通过注入写入 Webshell 或修改系统配置以维持长期访问权限，同时借助 SQLMap 等自动化工具加速漏洞扫描与利用流程。

0x02影响范围

• 泛微 E-cology 9 < 10.75

0x03修复方案

1. 升级到安全版本：泛微已发布多个安全补丁，建议用户升级至最新稳定版本（如 E-cology 10.x）
2. 在代码层面增加对用户输入的过滤（如禁止特殊字符 '、;、--）
3. 部署 Web 应用防火墙（如 ModSecurity），拦截 SQL 注入攻击
4. 启用系统日志，记录异常 SQL 查询行为

来源自：广州盈基信息官网