【高危】泛微e-cology remarkOperate远程命令执行漏洞
漏洞描述
泛微e-cology是泛微公司开发的协同管理应用平台。
受影响版本中,接口 /api/workflow/reqform/remarkOperate 存在 SQL 注入漏洞,multipart 类型参数 requestid 直接拼接进 SQL 语句,缺乏校验。攻击者可利用该漏洞执行任意 SQL,甚至写文件实现远程命令执行。
| MPS编号 | MPS-dypl-ut9b |
|---|---|
| CVE编号 | – |
| 处置建议 | 建议修复 |
| 发现时间 | 2025-07-04 |
| 利用成本 | 中 |
| 利用可能性 | 中 |
| 是否有POC | 否 |
影响范围
| 影响组件 | 受影响的版本 | 最小修复版本 |
|---|---|---|
| e-cology | (-∞, +∞) | +∞ |
参考链接
https://www.oscs1024.com/hd/MPS-dypl-ut9b
https://www.weaver.com.cn/cs/securityDownload.html?src=cn
排查方式
手动排查
检查接口是否存在:访问目标系统 /api/workflow/reqform/remarkOperate 接口,确认是否可访问。
测试参数注入风险:构造multipart请求,requestid参数传入单引号等特殊字符,观察响应是否异常(如SQL错误)。
一键自动排查全公司此类风险
墨菲安全为您免费提供一键排查全公司开源组件漏洞&投毒风险服务,可一键接入扫描全公司的代码仓库、容器镜像仓库、主机、制品仓库等。
试用地址:https://www.murphysec.com/apply?code=OSUK
提交漏洞情报:https://www.murphysec.com/bounty
处置方式
应急缓解方案
- 立即对/api/workflow/reqform/remarkOperate接口实施访问控制,限制仅允许可信IP地址访问
- 在WAF或网络设备上配置针对该接口的请求过滤规则,拦截包含SQL注入特征的请求
- 对multipart类型参数requestid实施输入验证,仅允许符合预期格式的数值型输入
- 暂时禁用非必要的文件写入权限,防止攻击者通过SQL注入写入恶意文件
- 加强日志审计,重点监控该接口的访问记录和异常SQL执行情况
根本修复方案
- 立即访问泛微官方安全下载页面获取最新安全补丁:https://www.weaver.com.cn/cs/securityDownload.html?src=cn
- 严格按照官方提供的补丁安装指南进行升级操作
- 升级完成后,对系统进行全面安全测试,验证漏洞是否已修复
- 定期关注泛微官方安全公告,及时获取并安装后续安全更新
- 实施安全开发生命周期(SDLC)流程,加强代码审计和安全测试
