返回列表

金和 OA CompanyBudgetCollectEdit.aspx SQL 注入漏洞

PoC
SQL Injection (SQL 注入)2025-12-24

影响软件

金和 OA

CWE

CWE-89: SQL Injection

关联产品

金和OA金和 OA

漏洞描述

### 漏洞概述 金和 OA 系统(Kingsoft OA)中的 CompanyBudgetCollectEdit.aspx 页面存在 SQL 注入漏洞。 ### 影响范围 主要影响金和 OA 系统的成本控制中心模块,具体涉及 CompanyBudgetCollectEdit.aspx 接口。未指定具体版本号。 ### 利用条件 攻击者需能够访问该 ASPX 页面并构造 POST 请求。PoC 显示无需复杂认证即可发送特定参数(httpAppID)进行注入。 ### 修复建议 1. 对 httpAppID 等用户输入参数使用预编译语句(Prepared Statements)。 2. 过滤或转义特殊字符,特别是单引号和 SQL 关键字。 3. 限制数据库账户权限,最小化权限原则。 ### 参考链接 详见下方 source_links。

补充来源

https://rss.biu.life/ti/%E9%87%91%E5%92%8COA%20CompanyBudgetCollectEdit.aspx%20SQL%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E

PoC / 利用代码

公开来源 PoC,尚未在平台侧验证。

登录后可查看 PoC 内容

查看原文

当前页面内容可能涉及 AI 翻译、补全或规范化处理,请结合原始来源核对关键信息。