万户OA某文件未授权访问导致SQL注入（N个政府单位中枪）

万户OA某版本未授权访问导致通用型注入，涉及多个政府网站、及大型企业。

该文件 defaultroot/mobile/setting/setPersonInfo.jsp没有做任何限制，无需登录，可直接访问，该文件参数未做功率，导致SQL注入，详情看图吧。。

有很多网站的OA都是内网的，我测不了，找了几个外网的，做了测试，都存在问题。

该例子中只例举普陀市中心医院，有一部分是客户，不方便直接发，自行测试吧。

普陀市中心医院

http://**.**.**.**:7001/defaultroot/mobile/setting/setPersonInfo.jsp

该文件无需登录，可直接访问

defaultroot/mobile/setting/setPersonInfo.jsp

该页面某些参数都做了隐藏，删除隐藏属性。。直接填写内容

而且，该页面未对setpers_UserAccounts、setpers_EmpEnglishName、setpers_EmpMobilePhone等参数做过滤，导致SQL注入

剩下的不截图了。。。自行测试吧。。

常规修复而已，你们懂~

厂商回应：

危害等级：高

漏洞Rank：17

确认时间：2014-09-06 09:46

厂商回复：

最新状态：

暂无

1. 2014-09-01 18:33 | px1624 ( 普通白帽子 | Rank:1171 漏洞数:207 | px1624)

   0

   羊羔现在很少来了啊。。。

   1# 回复此人

2. 2014-09-01 18:34 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

   0

   @px1624 嗯啊，懒的挖洞，天天灌水呢。。

   2# 回复此人

3. 2014-09-01 21:04 | saline ( 普通白帽子 | Rank:304 漏洞数:38 | Focus On Web Secur1ty)

   0

   我擦，这个万户竟然上首页，大厂商了？为何之前提的都是小厂商阿

   3# 回复此人

4. 2014-09-01 22:23 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

   0

   @saline 看清楚，不是上首页，是最新提交。。

   4# 回复此人

5. 2014-09-01 22:24 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

   0

   @saline 难道最新提交的，不会在上面显示么？？好久没发东西了。。

   5# 回复此人