返回列表

金和 OA AjaxForCenterBudgetDecompose.ashx SQL 注入漏洞

SQL Injection2025-12-24

影响软件

金和 OA

CWE

CWE-89

关联产品

金和OA金和 OA

漏洞描述

### 漏洞概述 金和 OA 系统中的 AjaxForCenterBudgetDecompose.ashx 接口存在 SQL 注入漏洞。攻击者可通过构造特定的参数请求,在后台数据库执行任意 SQL 语句。 ### 影响范围 主要影响金和 OA 系列软件,具体版本未明确,通常涉及旧版本系统。 ### 利用条件 1. 目标系统暴露了 AjaxForCenterBudgetDecompose.ashx 接口。 2. 攻击者需具备访问该接口的权限(通常为已登录用户或特定路径)。 3. 接口参数未进行有效过滤。 ### 修复建议 1. 对输入参数进行严格的类型检查和转义处理。 2. 使用预编译语句 (Prepared Statements) 替代字符串拼接。 3. 升级至官方发布的最新补丁版本。 ### 参考链接 见 source_links 字段。

补充来源

https://rss.biu.life/ti/%E9%87%91%E5%92%8COA%20AjaxForCenterBudgetDecompose.ashx%20SQL%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E
查看原文

当前页面内容可能涉及 AI 翻译、补全或规范化处理,请结合原始来源核对关键信息。