01
漏洞描述
通达OA(Office Anywhere网络智能办公系统)是由北京通达信科科技有限公司自主研发的协同办公自动化软件,是与中国企业管理实践相结合形成的综合管理办公平台。
通达OA为各行业不同规模的众多用户提供信息化管理能力,包括流程审批、行政办公、日常事务、数据统计分析、即时通讯、移动办公等,帮助广大用户降低沟通和管理成本,提升生产和决策效率。
此外,通达OA通过融合不同的信息化资源,打通信息“孤岛”,精细化流程管理,改善管理模式,实现资源的优化配置和高效运转,全面提升企业竞争力。它是通达信科在二十余年从事管理软件研发和服务过程中集技术创新、项目实践、先进的管理思想和中肯的客户建议为一体的完美结晶。通达2000 v11.10通过d_name参数发现export_data.php中存在SQL注入漏洞。
02
漏洞危害
Tongda2000 中存在SQL注入漏洞,该漏洞源于产品export_data.php文件中的d_name参数未对用户输入数据中的特殊字符做安全处理。攻击者可通过该漏洞执行恶意SQL语句。
03
影响范围
Tongda Tongda2000 v11.10
04
漏洞等级
高危
05
修复方案
目前厂商暂未发布修复措施解决此安全问题,建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法:
https://www.tongda2000.com/download/p2019.php?F=baidu_natural&K=
END
长按识别二维码,了解更多
原文始发于微信公众号(易东安全研究院):【漏洞预警】Tongda2000 SQL注入漏洞(CVE-2022-23902)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论