近日，泛微协同办公平台(e-cology)被披露在系统自带的BeanShell组件中存在未授权访问并执行系统命令的漏洞，攻击者通过相关组件接口可直接在目标服务器上执行任意命令。

严重程度：高危

CVE编号：暂无

影响版本：泛微e-cology<=9.0

问题出现在resin下lib中的bsh.jar文件里，问题类bsh.servlet.BshServlet，可doGet方法从getParameter中接收参数，Request请求会交给evalScript方法来进行处理。

攻击者可以通过精心构造的请求包在受影响版本的泛微OA上进行远程代码执行。

1.对/weaver/路径进行访问控制；

2.补丁包：ttps://www.weaver.com.cn/cs/securityDownload.asp。