全程云OA /OA/Common/API/Huawei.asmx SQL 注入漏洞

影响产品：全程云-管理系统 CVSS：7.5 漏洞类型：SQL注入 漏洞描述： 全程云OA是由全程云软件公司研发的一体化企业办公自动化（OA）管理平台，提供流程审批、文档管理、协同办公、消息通知、人事管理、合同管理等核心功能模块，支持PC端与移动端一体化使用，广泛应用于政府机关、企事业单位等各类组织的日常办公场景。全程云OA /OA/Common/API/Huawei.asmx 接口存在SQL注入漏洞，攻击者可获取数据库敏感信息。 影响： 全程云OA存在SQL注入漏洞，攻击者可利用该漏洞获取数据库中的敏感信息（如管理员账号密码、用户数据等），在高权限情况下还可进一步威胁服务器安全。 修复建议： 1、对用户输入的参数进行严格过滤，使用参数化查询代替字符串拼接。2、限制数据库账户权限，避免使用高权限账户运行Web服务。3、及时升级全程云OA至最新版本，或联系官方获取安全补丁。 FOFA： body="images/yipeoplehover.png" && body="images/yiphone.png"