高危

泛微OA E-Cology XXE漏洞

披露时间：

2023-07-12

更新时间：

2025-03-24

CT 编号

CT-741567

CVE 编号

CVE-2023-2806

CNVD 编号

N/A

CNNVD 编号

CNNVD-202305-1872

原理分类

逻辑漏洞

漏洞评分

8.2

漏洞描述

泛微 e-cology OA是一个集企业信息门户、知识管理、数据中心、工作流管理、人力资源管理、客户与合作伙伴管理、项目管理、财务管理、资产管理等功能于一体的协同业务平台。泛微OA E-Cology 存在XXE漏洞。

漏洞危害

攻击者可以利用该漏洞读取文件,列目录或者结合其他漏洞例如SSRF提升危害

检测工具

远程检测工具下载

xpoc -r 401 -t http://xpoc.org

本地检测工具下载

weaver_ecology_xxe_vuln_scanner_windows_amd64.exe

修复方法

升级Weaver e-cology到9.0以上版本（如果可用）。
如果无法立即升级，禁用受影响的API端点。
对输入进行验证和清理以防止XXE攻击。
参考官方安全公告或联系厂商支持团队获取详细指导：https://vuldb.com/?id.229411

参考链接

长亭百川云