1.漏洞概述

2025年6月23日，安全运营中心监测到泛微e-cology 未授权SQL注入漏洞，漏洞编号：-，漏洞威胁等级：高危。

2.漏洞详情

泛微e-cology是泛微公司开发的协同管理应用平台。

受影响版本中，/js/hrm/getdata.jsp 存在 SQL 注入漏洞，由于其中调用 weaver.hrm.common.AjaxManager.getData 方法，用户可控参数经过两次 URL 解码后，最终被拼接至：append(" and t.id = ").append(StringUtil.vString(map.get("id")))处，导致 SQL 注入漏洞，攻击者可能进一步写入Webshell导致远程代码执行。

修复版本通过对用户可控的参数进行强制数字转换，防止SQL注入漏洞。

3.影响版本

e-cology<10.75

4.处置建议

1.官方已发布安全更新，建议受影响用户尽快升级。

下载链接：

https://www.weaver.com.cn/cs/securityDownload.html?src=cn

预警通告来源：赛尔网络安全运营中心平台