【高危】泛微e-cology remarkOperate远程命令执行漏洞
漏洞描述
泛微e-cology是泛微公司开发的协同管理应用平台。
受影响版本中,接口 /api/workflow/reqform/remarkOperate 存在 SQL 注入漏洞,multipart 类型参数 requestid 直接拼接进 SQL 语句,缺乏校验。攻击者可利用该漏洞执行任意 SQL,甚至写文件实现远程命令执行。
| MPS编号 | MPS-dypl-ut9b |
|---|---|
| CVE编号 | – |
| 处置建议 | 建议修复 |
| 发现时间 | 2025-07-04 |
| 利用成本 | 中 |
| 利用可能性 | 中 |
| 是否有POC | 否 |
影响范围
| 影响组件 | 受影响的版本 | 最小修复版本 |
|---|---|---|
| e-cology | (-∞, +∞) | +∞ |
参考链接
https://www.oscs1024.com/hd/MPS-dypl-ut9b
https://www.weaver.com.cn/cs/securityDownload.html?src=cn
排查方式
手动排查
确认应用类型:检查系统是否为泛微e-cology协同管理平台。
检查接口存在性:访问/api/workflow/reqform/remarkOperate接口,确认是否可访问。
测试参数注入:构造multipart请求,requestid参数值设为单引号(‘),观察响应是否含SQL错误信息。
一键自动排查全公司此类风险
墨菲安全为您免费提供一键排查全公司开源组件漏洞&投毒风险服务,可一键接入扫描全公司的代码仓库、容器镜像仓库、主机、制品仓库等。
试用地址:https://www.murphysec.com/apply?code=OSUK
提交漏洞情报:https://www.murphysec.com/bounty
处置方式
应急缓解方案
- 在Web应用防火墙(WAF)或反向代理中配置规则,拦截包含特殊字符的/api/workflow/reqform/remarkOperate请求,重点过滤requestid参数中的单引号(‘)、分号(;)、注释符(#、–)、等号(=)及SQL关键字(UNION、SELECT、INSERT、UPDATE、DELETE等)
- 限制/api/workflow/reqform/remarkOperate接口的访问来源,仅允许必要的内部IP地址访问
- 启用应用系统的审计日志功能,重点监控/api/workflow/reqform/remarkOperate接口的访问记录
根本修复方案
- 访问泛微官方安全下载页面(https://www.weaver.com.cn/cs/securityDownload.html?src=cn),获取针对该漏洞的最新安全补丁
- 根据官方提供的补丁安装指南,在测试环境验证补丁有效性后,部署到生产环境
- 升级e-cology系统至官方确认已修复该漏洞的最新稳定版本
- 定期关注泛微官方安全公告,及时获取并应用安全更新
