智联云采 SRM2.0 /a/sys/sysMessage/statusList SQL 注入漏洞

影响产品：智联云采-SRM2.0 CVSS：7.5 漏洞类型：SQL注入 漏洞描述： 智联云采 SRM2.0是智联云采推出的一款企业级供应链管理（SRM）系统，为企业提供供应商管理、采购管理、合同管理、订单管理、对账管理、财务协同等综合解决方案。该系统采用 Java 技术架构，支持多组织、多账簿、多币种的复杂业务场景，广泛应用于制造业、能源、化工、交通等国民经济重点行业。智联云采 SRM2.0 /a/sys/sysMessage/statusList 接口存在 SQL 注入漏洞，攻击者可通过 delStatus 参数进行报错注入，获取数据库敏感信息。 影响： 攻击者可利用该漏洞获取数据库敏感信息，包括管理员账号密码、供应商信息、订单数据、财务数据等，造成严重的数据泄露风险。在高权限情况下，攻击者甚至可能写入木马获取服务器权限。 修复建议： 建议厂商尽快修复该漏洞，临时修复方案：1、对 delStatus 参数进行严格的参数验证和过滤2、使用参数化查询代替字符串拼接3、限制数据库账号权限，遵循最小权限原则4、对外暴露的接口增加身份认证校验 FOFA： body="function changeTableMode()" || title=="SRM 2.0"