【漏洞预警】Tongda2000 SQL注入漏洞(CVE-2022-23902)

admin 2022年3月11日10:30:17评论425 views字数 691阅读2分18秒阅读模式

 01

漏洞描述






通达OA(Office Anywhere网络智能办公系统)是由北京通达信科科技有限公司自主研发的协同办公自动化软件,是与中国企业管理实践相结合形成的综合管理办公平台。
通达OA为各行业不同规模的众多用户提供信息化管理能力,包括流程审批、行政办公、日常事务、数据统计分析、即时通讯、移动办公等,帮助广大用户降低沟通和管理成本,提升生产和决策效率。
此外,通达OA通过融合不同的信息化资源,打通信息“孤岛”,精细化流程管理,改善管理模式,实现资源的优化配置和高效运转,全面提升企业竞争力。它是通达信科在二十余年从事管理软件研发和服务过程中集技术创新、项目实践、先进的管理思想和中肯的客户建议为一体的完美结晶。通达2000 v11.10通过d_name参数发现export_data.php中存在SQL注入漏洞。

 02

漏洞危害


Tongda2000 中存在SQL注入漏洞,该漏洞源于产品export_data.php文件中的d_name参数未对用户输入数据中的特殊字符做安全处理。
攻击者可通过该漏洞执行恶意SQL语句。


 03

影响范围


Tongda Tongda2000 v11.10


 04

漏洞等级


高危

 05

修复方案


目前厂商暂未发布修复措施解决此安全问题,建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法:
https://www.tongda2000.com/download/p2019.php?F=baidu_natural&K=













END

长按识别二维码,了解更多


【漏洞预警】Tongda2000 SQL注入漏洞(CVE-2022-23902)


原文始发于微信公众号(易东安全研究院):【漏洞预警】Tongda2000 SQL注入漏洞(CVE-2022-23902)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年3月11日10:30:17
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【漏洞预警】Tongda2000 SQL注入漏洞(CVE-2022-23902)http://cn-sec.com/archives/825766.html

发表评论

匿名网友 填写信息