万户-contract_gd-mssql-delay-sql注入漏洞复现

2024年4月22日06:44:43评论11 views字数 565阅读1分53秒阅读模式

01产品描述

万户ezOFFICE是一款高效且功能全面的协同办公平台，以其强大的核心应用和工作流程、知识管理、沟通交流及辅助办公等特性而广受好评。该平台不仅支持多种操作系统，还具备跨平台性，可以任意移植到多种平台下，有效节省用户的投资。万户ezOFFICE在技术上具有广泛的支持力，其技术平台得到了国际性大公司以及自由开发者的广泛认可，显示出良好的发展前景。该平台还具备健壮性，没有并发数上限，能够确保超大用户、高并发应用的稳定性。同时，其严密性体现在“用户、角色、权限、数据”四维管控上，有效保障信息安全。综上所述，万户ezOFFICE是一款功能强大、稳定可靠、操作简便的协同办公平台，能够帮助企业提高办公效率，实现信息的有效整合和管理。

02FOFA语法

app="万户网络-ezOFFICE"

03漏洞复现

python3 main.py -f url.txt -p wanhu-contract_gd-mssql-delay-sqli

万户-contract_gd-mssql-delay-sql注入漏洞复现

修复建议

1、限制contract_gd接口的访问

2、升级万户-ezOFFICE至最新版本

3、官网下载最新安全补丁：https://www.wanhu.com.cn/

原文始发于微信公众号（SCA御盾）：【漏洞复现】万户-contract_gd-mssql-delay-sql注入漏洞复现

左青龙
微信扫一扫

右白虎
微信扫一扫

万户-contract_gd-mssql-delay-sql注入漏洞复现

CVE-2024-28253 :OpenMetadata

CVE-2024-27956 WordPress Automatic SQL注入漏洞可添加后台账号

用友NC down/bill存在SQL注入漏洞(XVE-2024-9469)

CVE-2024-23722

CVE-2024-0783

CNVD-2024-06148

CVE-2024-4040｜CrushFTP 认证绕过模板注入漏洞（POC）

【漏洞复现】ZenTao（禅道）身份认证绕过漏洞（QVD-2024-15263）

（CVE-2024-25648）福昕阅读器 ComboBox 小部件格式事件 UAF

漏洞复现 || SpringBlade dict-biz/list接口SQL注入

发表评论

在线咨询

微信