返回列表

金和 OA-AddTask.aspx 存在 SQL 注入漏洞

PoC
SQL Injection2025-08-01

影响软件

金和 OA (Jinhe OA)

CWE

CWE-89

CVSS

7.5

受影响版本

金和 OA C6

关联产品

金和OA金和 OA (Jinhe OA)

漏洞描述

## 漏洞概述 金和 OA C6 版本中 AddTask.aspx 接口存在 SQL 注入漏洞,攻击者可利用该漏洞执行任意 SQL 语句。 ## 影响范围 金和 OA C6 系列软件。 ## 利用条件 1. 目标系统需暴露 `/c6/Jhsoft.Web.dailytaskmanage/AddTask.aspx/` 路径。 2. 请求方法为 POST,Content-Type 为 application/xml。 3. 参数 TaskExecutorID 未过滤输入,可注入 SQL 语句(如 WAITFOR DELAY)。 ## 修复建议 1. 对接口接收的参数进行预编译处理(Prepared Statements)。 2. 严格过滤特殊字符或限制输入长度。 3. 最小化数据库账户权限。 ## 参考链接 见下方 source_links。

补充来源

https://mrxn.net/jswz/jhsoft-AddTask-sqli-xxe.html

PoC / 利用代码

Content extracted from public vulnerability blog (Mrxn). Verified in source.

登录后可查看 PoC 内容

查看原文

当前页面内容可能涉及 AI 翻译、补全或规范化处理,请结合原始来源核对关键信息。