浙大恩特客户资源管理系统-Quotegask-editAction-sql注入

0x01 产品简介

杭州恩软信息技术有限公司(浙大恩特)提供外贸管理软件、外贸客户管理软件等外贸软件,是一家专注于外贸客户资源管理及订单管理产品及服务的综合性公司，隶属浙江大学国家大学科技园，立足于中国外向型企业的管理软件系统的设计，研发和咨询服务。

0x02 漏洞概述

浙大恩特客户资源管理系统Quotegask_editAction接口存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句，成功注入并执行恶意数据库操作，可能导致敏感信息泄露、数据库被篡改或其他严重后果。

0x03 网络测绘

title="欢迎使用浙大恩特客户资源管理系统" || body="script/Ent.base.js" || app="浙大恩特客户资源管理系统"

0x04 漏洞复现

0x06 修复建议 

升级到新版本。

原文始发于微信公众号（知黑守白）：【漏洞复现】浙大恩特客户资源管理系统-Quotegask-editAction-sql注入