易宝OA GetProductInv SQL注入漏洞

admin 2024年10月26日19:22:52评论29 views字数 448阅读1分29秒阅读模式
易宝OA GetProductInv SQL注入漏洞
易宝OA GetProductInv SQL注入漏洞
易宝OA GetProductInv SQL注入漏洞

内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的POC信息及POC对应脚本而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删除文章并致歉。谢谢!

00
产品简介

易宝OA系统是一种专门为企业和机构的日常办公工作提供服务的综合性软件平台,具有信息管理、 流程管理 、知识管理(档案和业务管理)、协同办公等多种功能。

01
漏洞概述

易宝OA GetProductInv接口处存在SQL注入漏洞,未经身份认证的攻击者可以通过此漏洞获取数据库敏感信息,用户名密码等凭据,进一步利用可获取服务器权限。

02
搜索引擎
FOFA: 
product="顶讯科技-易宝OA系统"

易宝OA GetProductInv SQL注入漏洞

03
漏洞复现

易宝OA GetProductInv SQL注入漏洞

sqlmap验证

易宝OA GetProductInv SQL注入漏洞

04
检测工具

nuclei

易宝OA GetProductInv SQL注入漏洞

afrog

易宝OA GetProductInv SQL注入漏洞

xray

易宝OA GetProductInv SQL注入漏洞

05
修复建议

1、关闭互联网暴露面或接口设置访问权限

2、 升级至安全版本

06

原文始发于微信公众号(nday POC):易宝OA GetProductInv SQL注入漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月26日19:22:52
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   易宝OA GetProductInv SQL注入漏洞http://cn-sec.com/archives/3318474.html

发表评论

匿名网友 填写信息