泛微协同管理应用平台(E-cology)是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台，形成了一系列的通用解决方案和行业解决方案。该平台广泛应用于各类企业和组织的日常办公和业务管理中。

近日，泛微官方披露了一个严重的泛微 E-cology9 未授权 SQL 注入漏洞。未经身份认证的远程攻击者可以通过构造特殊的 HTTP 请求，在目标系统上执行任意 SQL 查询语句，成功的利用该漏洞可获取系统敏感信息，当数据库为 SQL Server 时可能进一步利用获取目标系统的代码执行权限。

360漏洞研究院已复现泛微 E-cology9 SQL注入漏洞，通过延时注入的方式（延时 4 秒）进行了验证。

发起 SQL 注入请求

触发泛微 E-cology9 未授权SQL注入

影响以下版本的泛微产品：

E-cology9 < 10.76

正式防护方案

官方已发布新版本中修复上述漏洞，受影响用户请尽快升级到安全版本。

漏洞修复版本：

泛微 E-cology9 >= 10.76

临时缓解措施

尽量不要将该服务器暴露在公网，或通过防火墙规则限制能够访问该服务器的IP地址为可信IP。

360测绘云 Quake：默认支持该产品的指纹识别。

360高级持续性威胁预警系统：已具备该漏洞的检测能力。告警ID为：60129498，建议用户尽快升级检测规则库。

360资产与漏洞检测管理系统：预计 2025年7月11日 发布规则更新包，支持该漏洞利用行为的检测。
本地安全大脑：默认支持该漏洞的PoC检测。

2025年7月10日，360漏洞研究院发布本安全风险通告。

https://www.weaver.com.cn/cs/securityDownload.html

建议您订阅360数字安全-漏洞情报服务，获取更多漏洞情报详情以及处置建议，让您的企业远离漏洞威胁。

邮箱：360VRI@360.cn

网址：https://vi.loudongyun.360.net