大工网安告[2025027]

一、 情况分析

泛微E-cology9 OA系统是一款全面的企业管理软件，涵盖了人力资源管理、财务管理、供应链管理等多个模块，能够帮助企业实现全面的业务数字化和智能化管理。

近日，官方修复泛微E-cology9 SQL注入漏洞(QVD-2025-23834)，该漏洞源于对用户传入的参数没有严格校验，直接拼接造成SQL注入漏洞。攻击者可利用该漏洞获取数据库敏感信息，并可能利用Ole组件导出为Webshell实现远程代码执行，进而获取服务器权限。鉴于该漏洞影响范围较大，建议大家尽快做好自查及防护。

威胁类型：代码执行、信息泄露。

技术类型：SQL注入。

利用条件：利用需要普通域用户的权限，目标机器未强制启用SMB签名。

危害描述：攻击者可利用该漏洞获取数据库敏感信息，并可能利用Ole组件导出为 Webshell实现远程代码执行，进而获取服务器权限。

目前，已成功复现泛微E-cology9 SQL注入漏洞(QVD-2025-23834)，截图如下：

二、 影响版本

泛微E-cology9 < v10.75

三、 处置建议

修复解决方案（含漏洞补丁）：

泛微官方已发布修复补丁，请尽快更新至v10.75版本补丁：

https://www.weaver.com.cn/cs/securityDownload.html