金和 OA SubjectEdit.aspx SQL 注入漏洞
SQL 注入 (SQL Injection)2025-10-10
影响软件
金和 OA
CWE
CWE-89
CVSS
7.5 (High)
漏洞描述
### 漏洞概述 金和 OA 系统后台管理模块中的 SubjectEdit.aspx 页面存在 SQL 注入漏洞。攻击者可通过构造特定的参数请求,将恶意 SQL 语句拼接到数据库查询中。 ### 影响范围 可能导致管理员权限被窃取、敏感数据泄露(如用户信息、配置表),甚至通过存储过程执行系统命令。 ### 利用条件 1. 目标系统为金和 OA 系列版本。 2. 攻击者需访问到 SubjectEdit.aspx 接口(通常需登录后台)。 3. 存在可被注入的参数点(如 ID、名称等)。 ### 修复建议 1. 升级至官方发布的最新补丁版本。 2. 对输入参数进行严格的类型检查和 SQL 转义处理。 3. 使用预编译语句(Prepared Statements)替代字符串拼接。
当前页面内容可能涉及 AI 翻译、补全或规范化处理,请结合原始来源核对关键信息。