发布日期：2019-09-18
更新日期：2019-07-31

受影响系统：

weaver ecology

描述：

---

泛微协同管理应用平台（e-cology）是一套兼具企业信息门户、知识管理、数据中心、工作流管理、人力资源管理、客户与合作伙伴管理、项目管理、财务管理、资产管理功能的协同商务平台。

泛微协同OA管理平台(e-cology)在系统自带的BeanShell组件中存在未授权访问的漏洞，攻击者调用BeanShell组件接口可直接在目标服务器上执行任意命令。

<*来源：anonymous
  *>

建议：

---

临时解决方法：

在厂商发布安全补丁前，可暂时关闭 BeanShell 接口，使用绿盟 WAF 的用户可通过设置自定义规则来进行安全防护，配置WAF 自定义防护：检测对象（URI-PATH）、匹配操作（正则包含）、检测值（bsh\.servlet\.BshServlet）。

厂商补丁：

weaver
------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

https://www.weaver.com.cn/ecology/

参考：
https://help.aliyun.com/noticelist/articleid/1060057523.html?spm=5176.2020520154.sas.20.36a91e43Zt9Vx7

浏览次数：2559
严重程度：0（网友投票）