文章总结： 泛微E-cology10系统存在高危远程命令执行漏洞，攻击者可通过invoke接口执行任意命令导致服务器失陷。漏洞于2026年5月8日披露，目前暂无CVE编号和官方补丁。建议立即排查/papi/openapi/sapi/oauth2/logicflow/plugin/invoke接口的暴露情况，实施IP访问限制并关闭非必要远程调用权限。 综合评分： 85 文章分类： 漏洞预警,应急响应,漏洞分析,解决方案,应用安全

【漏洞通告】泛微 E-cology10 invoke命令执行漏洞

安迈信科应急响应中心

2026年5月14日 10:52 陕西

在小说阅读器读本章

去阅读

**

01 漏洞概况 泛微E-cology10 invoke接口存在一个远程命令执行漏洞，攻击者可以利用该漏洞执行任意命令，导致服务器失陷。 02 漏洞处置 综合处置优先级：高 | | | | | — | — | — | | 漏洞信息 | 漏洞名称 | 泛微E-cology10 invoke命令执行漏洞 | | 漏洞编号 | CVE编号 | 暂无 | | 漏洞评估 | 披露时间 | 2026-05-08 | | 漏洞类型 | 远程命令执行 | | 危害评级 | 高危 | | 公开程度 | PoC未公开 | | 威胁类型 | 远程 | | 利用情报 | 在野利用 | 暂未确认 | | 影响产品 | 产品名称 | 泛微 | | 受影响版本 | 暂未明确 | | 影响范围 | 广 | | 有无修复补丁 | 暂无 |

03 漏洞排查 用户尽快排查是否部署使用泛微E-cology10系统，并确认系统是否暴露 /papi/openapi/sapi/oauth2/logicflow/plugin/invoke 接口。若该接口可被公网或非可信来源访问，且系统未安装官方最新安全补丁，则可能受到该漏洞影响。 04 修复方案 目前暂未监控到官方发布安全通告，建议对 /papi/openapi/sapi/oauth2/logicflow/plugin/invoke 接口实施严格访问管控，仅允许内网可信 IP 段访问，同时关闭不必要的远程调用权限，阻断外部恶意利用该接口进行文件上传的行为，降低服务器被入侵风险。 05 时间线 2026.05.08 监测发现漏洞 2026.05.12 安迈信科安全运营团队发布通告 关于安迈信科 西安安迈信科科技有限公司以“数字化可管理”为核心理念，坚持DevOps自主研发，创新打造“能力聚合、流程闭环、持续赋能”的综合性网络数据安全平台与运营服务。公司从古城西安出发，已在全国范围内为政府、运营商、电力、能源等行业客户提供了高质量的安全保障，并将继续为我国数字化转型和发展贡献力量。 智 慧 . 至 简 . 致 诚**

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安迈信科应急响应中心 《【漏洞通告】泛微 E-cology10 invoke命令执行漏洞》