云连POS-ERP管理系统 ZksrService SQL注入漏洞

2025年1月14日22:25:21评论21 views字数 530阅读1分46秒阅读模式

产品简介

云连POS-ERP管理系统作为一种综合的管理软件，旨在为企业提供全面、高效的业务管理解决方案。基于云计算技术，集POS收银与ERP管理功能于一体的综合管理系统。它通过网络对企业的各类信息进行集中、统一和实时的管理，帮助企业实现销售、库存、财务等业务的全面数字化管理。系统具有用户友好的操作界面和简单直观的操作流程，使得用户可以快速上手并熟练使用。同时，系统还提供了多种数据导出方式，方便用户实时导出各类报表、销售数据、库存数据等，极大地提高了工作效率。

漏洞概述

云连POS-ERP管理系统 ZksrService 接口存在未授权SQL注入漏洞，未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。

搜索引擎

FOFA:

title="Powered By chaosZ"

漏洞复现

sqlmap验证

自查工具

nuclei

afrog

xray

修复建议

1、关闭互联网暴露面或接口设置访问权限

2、升级至安全版本或打补丁

原文始发于微信公众号（nday POC）：云连POS-ERP管理系统 ZksrService SQL注入漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

云连POS-ERP管理系统 ZksrService SQL注入漏洞

74cmsRCECVE-2024-2561 POC

CVE-2025-21535｜Oracle WebLogic Server远程代码执行漏洞

畅捷通T+ FileUploadHandler任意文件上传漏洞

Confluence OGNL注入漏洞复现(CVE-2022-26134)

7-Zip Web标记绕过漏洞[CVE-2025-0411]-POC

CVE-2024-9593 WordPress 远程代码执行

CVE-2024-49113LDAP 噩梦：2025 年首个 PoC 漏洞针对关键 Windows 漏洞

Windows 文件资源管理器权限提升漏洞（CVE-2024-38100）

AdForest <= 5.1.8 — 身份验证绕过

锐捷EWEBauth远程命令执行漏洞 POC

发表评论

在线咨询

微信