返回列表

金和 OA SignUpload.ashx SQL 注入漏洞

SQL Injection2024-08-22

影响软件

金和 OA

CWE

CWE-89

CVSS

CVSS:3.1/AV:N/AC:L/PR:N/UI:S/S:C/C:H/I:H/A:H (8.1)

受影响版本

金和 OA C6 系列 (基于路径推断)

关联产品

金和OA金和 OA

漏洞描述

### 漏洞概述 金和 OA 系统(Kingsoft OA)在 /C6/Jhsoft.Web.ask/SignUpload.ashx 接口处存在 SQL 注入漏洞。 ### 影响范围 攻击者利用该漏洞可操纵数据库,读取、修改或删除敏感数据;进一步可能获取数据库服务器权限并执行系统命令,造成广泛破坏。 ### 利用条件 1. 目标系统部署了金和 OA 且路径 /C6/Jhsoft.Web.ask/SignUpload.ashx 可访问。 2. 接口未对输入参数进行有效过滤或预编译处理。 ### 修复建议 1. 使用参数化查询(Prepared Statements)替代字符串拼接。 2. 对上传文件名及参数进行严格类型检查和转义。 3. 升级至最新补丁版本。 ### 参考链接 https://rss.biu.life/ti/%E9%87%91%E5%92%8COA%20SignUpload.ashx%20SQL%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E

查看原文

当前页面内容可能涉及 AI 翻译、补全或规范化处理,请结合原始来源核对关键信息。