泛微e-cology是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。
一、漏洞详情
泛微e-cology9部分版本中存在前台任意用户登录漏洞。该漏洞允许未经身份验证的攻击者通过发送构造的请求触发漏洞,成功利用此漏洞的攻击者可登录任意用户。
影响范围
受影响版本:
部分 e-cology9 并且补丁版本 < 10.57
三、修复方案
1、解决方案
目前官方已更新补丁,建议受影响的用户下载相关补丁进行修复。
补丁地址:https://www.weaver.com.cn/cs/securityDownload.html
2、缓解方案
将泛微E-Cology部署在内网,限制外网访问。自定义 WEB-INF\prop\transferE9.properties 中的认证密钥。