金和 OA Add_Collection.aspx SQL 注入漏洞
SQL Injection (SQL 注入)2026-01-21
影响软件
金和 OA
CWE
CWE-89
CVSS
7.5 (High)
漏洞描述
### 漏洞概述 金和 OA(Kinghope OA)系统中的 `Add_Collection.aspx` 页面存在 SQL 注入漏洞。该漏洞允许攻击者通过构造特定的参数,将恶意 SQL 语句传入后端数据库执行。 ### 影响范围 主要影响金和 OA 的旧版本系统,特别是未打补丁的版本(推测 V10 及以下版本)。 ### 利用条件 1. 目标系统开启了 `Add_Collection.aspx` 页面访问权限。 2. 攻击者能够向该页面发送 HTTP 请求并控制参数。 3. 数据库账户具有较高权限时可能导致数据泄露或写入。 ### 修复建议 1. 升级金和 OA 至官方发布的最新安全版本。 2. 对 `Add_Collection.aspx` 接收的参数进行严格的类型检查和 SQL 转义。 3. 使用预编译语句(Prepared Statements)替代字符串拼接。 4. 限制 Web 应用连接数据库的权限,遵循最小权限原则。 ### 参考链接 - [金和 OA Add_Collection.aspx SQL 注入漏洞](https://rss.biu.life/ti/%E9%87%91%E5%92%8COA%20Add_Collection.aspx%20SQL%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E)
当前页面内容可能涉及 AI 翻译、补全或规范化处理,请结合原始来源核对关键信息。