泛微e-cology是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。

一、漏洞详情

泛微e-cology9部分版本中存在前台任意用户登录漏洞。该漏洞允许未经身份验证的攻击者通过发送构造的请求触发漏洞，成功利用此漏洞的攻击者可登录任意用户。

影响范围

受影响版本：

部分 e-cology9 并且补丁版本 < 10.57

三、修复方案

1、解决方案

目前官方已更新补丁，建议受影响的用户下载相关补丁进行修复。

补丁地址：https://www.weaver.com.cn/cs/securityDownload.html

2、缓解方案

将泛微E-Cology部署在内网，限制外网访问。自定义 WEB-INF\prop\transferE9.properties 中的认证密钥。