漏洞背景

泛微协同管理应用平台(E-Cology)是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。支持OA、CRM、ERP等多种业务应用系统，并提供了完善的权限控制、数据加密保护机制，以及灵活的定制化开发方案。

漏洞描述  

工作发现，泛微网络科技股份有限公司e-cology协同管理应用平台存在文件上传漏洞。由于该平台SkinAction接口对用户提交的数据检验不严，导致攻击者可以绕过安全检验提交修改过的数据，进而获取服务器Webshell权限。漏洞影响e-cology大部分版本。

漏洞编号

无

影响范围

大部分版本

漏洞危害

高危

安全建议

鉴于境外黑客组织频繁对我协同办公类软件实施网络攻击请各单位高度重视，迅速开展以下工作：

1、立即排查本单位泛微e-cology协同管理应用平台使用情况；

2、密切关注厂商漏洞补丁发布情况，及时消除风险隐患。补丁发布前可在确保安全的前提下，采取对用户上传的文件进行严格输入验证和过滤、限制上传文件存储位置和访问权限、使用安全的文件处理函数和API等临时性措施；

泛微安全中心网站：https://www.weaver.com.cn/news/src/

3、加强网络安全监测，如发现遭攻击情况及时处置报告。

河南省教育信息安全监测中心-关于泛微e-cology协同管理应用平台存在文件上传漏洞的情况通报.pdf