深科特 LEAN MES 系统 /Handler/AutoComplete.ashx SQL 注入漏洞

影响产品：深科特 LEAN MES系统 CVSS：8 漏洞类型：SQL注入 漏洞描述： LEAN MES系统是由深圳市深科特信息技术有限公司开发的一款应用系统，主要用于生产调度、产品跟踪、质量控制等车间管理功能。LEAN MES精益制造执行系统通过强调制造过程的信息化和透明化，帮助企业由粗放式向精益化管理模式升级。该系统/Handler/AutoComplete.ashx接口存在SQL注入漏洞，攻击者可以通过构造恶意的SQL语句，获取数据库中的敏感信息或对数据库进行未授权操作，可能导致数据泄露、篡改或系统崩溃。 影响： 该漏洞危害等级为高危。攻击者利用该漏洞无需任何身份验证，即可直接获取数据库的敏感数据，如管理员账号密码、客户个人信息、业务订单详情和财务数据。更严重的是，攻击者可能通过进一步的渗透，写入恶意脚本文件，获取服务器权限，最终导致整个服务器被控制，业务系统瘫痪或数据被恶意篡改。 修复建议： 参数化查询：使用参数化查询代替动态拼接 SQL 语句，确保用户输入仅作为数据处理，不改变查询逻辑。输入验证： 对用户传入的所有参数进行严格的类型检查和合法性校验，限制其格式和长度。最小权限原则： 配置数据库连接账户权限，确保该账户仅拥有必要的读/写权限，禁用或删除不必要的扩展存储过程。 FOFA： title="LEAN MES - 用户登录" || body="Content/js/skt.utility.checkmobile.js" || body="../MobileApp/VerifyError.aspx" || body="Content/login/login2/multiplant_top.png"