泛微 E-cology WorkflowServiceXml getHendledWorkflowRequestList SQL注入漏洞

泛微e-cology是一款由泛微网络科技开发的协同管理平台，支持人力资源、财务、行政等多功能管理和移动办公。
2024年7月，泛微官方发布了新补丁，修复了一处SQL注入漏洞。经分析，攻击者无需认证即可利用该漏洞，建议受影响的客户尽快修复漏洞。

1、数据泄露：攻击者可以通过注入恶意SQL语句来获取数据库中的敏感信息，如用户密码、信用卡信息；
2、数据篡改：攻击者可以利用注入攻击修改或删除数据库中的数据，如修改用户账户信息或删除关键数据；
3、服务器攻击：攻击者可以利用注入攻击在服务器上执行恶意代码，如上传恶意脚本或获取服务器的管理员权限；
4、服务拒绝：攻击者可以通过注入攻击导致服务器宕机或无法正常工作，从而影响服务的可用性。

一、临时缓解措施:
在确保业务不受影响的前提下，可暂时拦截对/{{val}}接口的访问请求。
限制访问来源地址，如非必要，不要将系统开放在互联网上。
二、升级修复方案:
升级产品至最新版本，下载地址：https://www.weaver.com.cn/
针对e-cology10.0用户，建议升级至最新版本，参考链接：https://www.weaver.com.cn/e10