【漏洞对象】泛微OA 【涉及版本】包括但不限于泛微 E-cology OA 8.0、9.0 版本 【漏洞描述】泛微产品技术研发专注于协同管理软件领域，拥有自主知识产权的协同管理软件系列产品，并致力于以协同 OA 为核心帮助企业构建全员统一的移动办公平台。泛微 OA 系统的 /mobile/DBconfigReader.jsp 文件中会将当前连接数据库的用户名密码，url，logintype 等信息进行 des 加密，并最终进行返回，对返回信息可以直接通过 des 解密获取明文信息。 攻击者可通过该漏洞页面直接获取到数据库配置信息，泛微e-cology默认数据库大多为MSSQL数据库，如果攻击者可直接访问数据库,则可直接获取用户数据。

官方已经针对此漏洞发布修复补丁，请联系厂商获取漏洞最新状态与补丁更新或者前去官网下载最新版本