【高危】泛微e-cology remarkOperate远程命令执行漏洞
漏洞描述
泛微e-cology是泛微公司开发的协同管理应用平台。
受影响版本中,接口 /api/workflow/reqform/remarkOperate 存在 SQL 注入漏洞,multipart 类型参数 requestid 直接拼接进 SQL 语句,缺乏校验。攻击者可利用该漏洞执行任意 SQL,甚至写文件实现远程命令执行。
| MPS编号 | MPS-dypl-ut9b |
|---|---|
| CVE编号 | – |
| 处置建议 | 建议修复 |
| 发现时间 | 2025-07-04 |
| 利用成本 | 中 |
| 利用可能性 | 中 |
| 是否有POC | 否 |
影响范围
| 影响组件 | 受影响的版本 | 最小修复版本 |
|---|---|---|
| e-cology | (-∞, +∞) | +∞ |
参考链接
https://www.oscs1024.com/hd/MPS-dypl-ut9b
https://www.weaver.com.cn/cs/securityDownload.html?src=cn
排查方式
手动排查
访问接口:通过浏览器或工具访问目标系统的/api/workflow/reqform/remarkOperate接口,确认是否存在。
检查参数:构造multipart请求,传入requestid=1’,观察响应是否含SQL错误(如MySQL语法错误)。
查看代码:检查后端代码中requestid是否直接拼接SQL,未做过滤或参数化查询。
一键自动排查全公司此类风险
墨菲安全为您免费提供一键排查全公司开源组件漏洞&投毒风险服务,可一键接入扫描全公司的代码仓库、容器镜像仓库、主机、制品仓库等。
试用地址:https://www.murphysec.com/apply?code=OSUK
提交漏洞情报:https://www.murphysec.com/bounty
处置方式
应急缓解方案
- 立即对
/api/workflow/reqform/remarkOperate接口实施访问控制限制,仅允许可信IP地址访问 - 在WAF或网络防火墙中添加规则,拦截包含SQL注入特征字符(如单引号、分号、UNION、EXEC等)的请求
- 启用应用系统审计日志,重点监控
/api/workflow/reqform/remarkOperate接口的访问记录 - 临时禁用不必要的文件写入权限,限制数据库账户对文件系统的访问权限
根本修复方案
- 访问泛微官方安全下载页面获取最新安全补丁:https://www.weaver.com.cn/cs/securityDownload.html?src=cn
- 严格按照官方指导文档部署安全补丁,完成后重启应用服务
- 升级泛微e-cology至官方确认已修复该漏洞的版本
- 实施参数化查询,对所有用户输入进行严格的类型校验和过滤
- 定期执行安全基线检查,确保所有接口均已正确实施输入验证机制
