金和 OA CostApplyHandler.ashx SQL 注入漏洞

漏洞概述：金和 OA 系统中的 CostApplyHandler.ashx 处理程序存在 SQL 注入漏洞，攻击者可通过构造特定参数利用该漏洞执行任意 SQL 语句。 影响范围：受影响的软件为金和 OA，具体版本未明确指定，可能包含多个历史版本。 利用条件：攻击者需能够访问到 CostApplyHandler.ashx 接口，且该接口存在未过滤的输入点（如 GET/POST 参数）。 修复建议：开发团队应对输入参数进行严格校验，使用预编译语句或存储过程处理 SQL 查询，避免直接拼接字符串。 参考链接：https://rss.biu.life/ti/%E9%87%91%E5%92COA%20CostApplyHandler.ashx%20SQL%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E