文章总结： 泛微云桥e-Bridge系统/wxthirdapi/sendWxMsg接口因tpids参数未过滤直接拼接SQL语句导致存在SQL注入漏洞，攻击者可执行恶意数据库操作。文章提供了FOFA指纹识别特征，但具体POC被置于付费内部圈子中需加入获取。该文属于漏洞预警性质兼具引流推广意图，公开技术细节较少。 综合评分： 52 文章分类： 漏洞预警,WEB安全,渗透测试

官方新漏洞-泛微云桥 e-Bridge系统 sendWxMsg 存在SQL注入漏洞

原创

小菜鸟 小菜鸟

智动心域

2026年3月6日 16:39 山东 标题已修改

泛微云桥 e-Bridge 系统的 /wxthirdapi/sendWxMsg 接口在处理用户传入的 tpids 参数时，未对其进行有效的安全过滤，直接将

用户可控的参数内容拼接进 SQL 查询语句中，导致攻击者可构造恶意 SQL 语句执行数据库操作。

                             指纹

FOFA：(body=”泛微云桥e-Bridge” && (body=”wx.weaver.com.cn”||body=”www.weaver.com.cn”))||header=”EBRIDGE_JSESSIONID” || title=”泛微云桥e-Bridge”

                              复现

                              圈子

漏洞poc已发内部圈子，纷传圈子刚成立，适合需要新出漏洞poc和网络安全小白入门学习，不定期分享新出漏洞poc以及漏洞报告等学习资料，大佬误触

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：智动心域 小菜鸟 小菜鸟《官方新漏洞-泛微云桥 e-Bridge系统 sendWxMsg 存在SQL注入漏洞》