返回列表

金和 OA GeneralXmlhttpPage.aspx SQL 注入漏洞

SQL Injection2024-07-25

影响软件

金和 OA (Jinhe OA)

CWE

CWE-89

CVSS

7.5 (High)

关联产品

金和OA金和 OA (Jinhe OA)

漏洞描述

### 漏洞概述 金和 OA (Jinhe OA) 协同办公管理平台中的 GeneralXmlhttpPage.aspx 接口存在 SQL 注入漏洞。攻击者通过构造特定的请求参数,可绕过数据库查询逻辑。 ### 影响范围 未明确具体版本号,推测为未打补丁的旧版本或特定配置下的金和 OA 系统。 ### 利用条件 1. 攻击者需能访问到 GeneralXmlhttpPage.aspx 页面路径。 2. 通常无需高权限即可触发(视具体参数验证机制而定)。 3. 成功注入后可获取数据库敏感信息,甚至可能实现远程命令执行。 ### 修复建议 1. 升级金和 OA 至官方发布的最新修复版本。 2. 对输入参数进行严格的类型检查和转义处理。 3. 使用预编译语句(Prepared Statements)替代字符串拼接。 ### 参考链接 详见来源链接。

补充来源

https://rss.biu.life/ti/%E9%87%91%E5%92COA%20GeneralXmlhttpPage.aspx%20%E5%AD%98%E5%9C%A8SQL%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E
查看原文

当前页面内容可能涉及 AI 翻译、补全或规范化处理,请结合原始来源核对关键信息。