金和 OA 系统接口 SignUpload.ashx 存在 SQL 注入漏洞
PoCSQL Injection2024-09-26
影响软件
金和 OA (Jinhe OA)
CWE
CWE-89
CVSS
7.5 (High)
漏洞描述
## 漏洞概述 金和 OA 系统接口 SignUpload.ashx 存在 SQL 注入漏洞。 ## 影响范围 金和 OA 系列版本,主要涉及 C6/Jhsoft.Web.ask/SignUpload.ashx 路径。 ## 利用条件 攻击者需能访问目标系统的该接口,并通过构造恶意的 `token` 参数进行注入。 ## 修复建议 1. 对输入参数进行严格的 SQL 转义或预处理。 2. 使用预编译语句(Prepared Statements)。 3. 联系厂商获取最新补丁。 ## 参考链接 [金和 OA 系统接口 SignUpload.ashx 存在 SQL 注入漏洞](https://rss.biu.life/ti/%E9%87%91%E5%92%8COA%E7%B3%BB%E7%BB%9F%E6%8E%A5%E5%8F%A3SignUpload.ashx%E5%AD%98%E5%9C%A8SQL%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E)
PoC / 利用代码
公开来源 PoC,尚未在平台侧验证。
登录后可查看 PoC 内容
当前页面内容可能涉及 AI 翻译、补全或规范化处理,请结合原始来源核对关键信息。