昂捷ERP /EnjoyRMIS_WS/WS/ReportTool/cwsqry.asmx GetChildGroupSql1 SQL 注入漏洞

影响产品：昂捷ERP CVSS：7.5 漏洞类型：SQL注入 漏洞描述： 昂捷ERP（EnjoyRMIS）是深圳市昂捷信息技术股份有限公司推出的一款面向零售、快消、服装等行业的企业资源计划管理系统。该系统涵盖供应链管理、门店管理、财务管理、仓储管理等核心业务模块，广泛应用于连锁零售、品牌服装、快速消费品等行业，帮助企业实现数字化运营管理。昂捷ERP /EnjoyRMIS_WS/WS/ReportTool/cwsqry.asmx 接口存在 SQL 注入漏洞，攻击者可获取数据库敏感信息。 影响： 攻击者可利用该漏洞获取数据库敏感信息，包括管理员账号密码等，造成数据泄露，在高权限情况下甚至可写入木马获取服务器权限。 修复建议： 建议厂商尽快修复该漏洞，临时修复方案：1、对用户输入进行严格的参数验证和过滤2、使用参数化查询代替字符串拼接3、限制数据库账号权限，遵循最小权限原则 FOFA： (body="enableGPUAcceleration" && body="/Scripts/Silverlight.js") || body="/ClientBin/slEnjoy.App.xap" || body="CreateXMLHTTPActiveX"