畅捷通T+SQL注入漏洞

已于 2023-08-14 10:00:37 修改
阅读量1k 收藏 1
点赞数 1
分类专栏: 2023年HW专题 网络安全漏洞复现 文章标签: sql 数据库 网络安全
于 2023-07-27 10:49:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/holyxp/article/details/131955093
版权

畅捷通T+SQL注入漏洞

免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

一、 产品简介

​ 畅捷通 T+ 是一款基于互联网的新型企业管理软件,功能模块包括:财务管理、采购管理、库存管理等。主要针对中小型工贸和商贸企业的财务业务一体化应用,融入了社交化、移动化、物联网、电子商务、互联网信息订阅等元素。

二、 漏洞概述

畅捷通T+的某后台功能点只校验了权限,未对用户的输入进行过滤,导致在权限绕过后存在SQL注入漏洞,利用此漏洞攻击者最终可以实现远程命令执行。

三、 影响范围

畅捷通T+ 13.0 && 畅捷通T+ 16.0

四、 复现环境

FOFA:app=“畅捷通-TPlus”

在这里插入图片描述</

了解本专栏 订阅专栏 解锁全文 超级会员免费看
捷通T+ SQL注入漏洞复现(QVD-2023-13612)
0xSec
06-14 4152
捷通T+的某后台功能点只校验了权限,未对用户的输入进行过滤,导致在权限绕过后存在SQL注入漏洞,利用此漏洞攻击者最终可以实现远程命令执行。
漏洞复现】用友-捷通T+-SQL注入-keyEdit
知黑而守白
07-05 731
用友捷通 T+是一款基于互联网的新型企业管理软件,功能模块包括:财务管理、采购管理、库存管理等。主要针对中小型工贸和商贸企业的财务业务一体化应用,融入了社交化、移动化、物联网、电子商务、互联网信息订阅等元素。捷通T+ keyEdit.aspx接口处存在SQL注入漏洞 ,恶意攻击者可能会利用此漏洞修改数据库中的数据,例如添加、删除或修改记录,导致数据损坏或丢失。
漏洞复现】用友捷通T+ SQL注入漏洞
2301_79099363的博客
07-13 1696
漏洞复现】用友捷通T+ SQL注入漏洞
#渗透测试#批量漏洞挖掘#捷通T+远程命令执行漏洞
最新发布
soc的博客
02-20 1184
漏洞存在于T+系统的特定接口组件,攻击者可通过构造恶意HTTP请求绕过身份验证,在未授权情况下直接向系统发送操作系统命令
用友捷通T+ keyEdit sql注入漏洞
Keepb1ue的博客
05-11 858
捷通 T+ 是一款灵动,智慧,时尚的基于互联网时代开发的管理软件,主要针对中小型工贸与商贸企业,尤其适合有异地多组织机构(多工厂,多仓库,多办事处,多经销商)的企业,涵盖了财务,业务,生产等领域的应用,产品应用功能包括:采购管理、库存管理、销售管理、生产管理、分销管理、零售管理、往来管理、现金银行管理、总账、移动应用等,融入了社交化、移动化、电子商务、互联网信息订阅等元素,为企业打造全新的生意模式、管理模式、工作模式。
【复现】捷通T-Plus SQL注入漏洞_65
fushuang333的博客
03-17 1220
【复现】捷通T-Plus SQL注入漏洞,​攻击者未经授权可以访问数据库中的数据,盗取用户的隐私以及个人信息,造成用户的信息泄露。
(附nuclei 批量验证文件)用友 捷通T+ MultiCompanyController SQL注入漏洞
nglj9527的博客
05-29 515
用友 捷通T+ MultiCompanyController 存在SQL注入漏洞,执行sql语句,获取数据库信息。
捷通T+ KeyInfoList.aspx SQL注入漏洞(含批量验证poc)
weixin_43567873的博客
04-08 431
捷通T+ KeyInfoList.aspx SQL注入漏洞(含批量验证poc)
漏洞复现】用友捷CRM存在SQL注入漏洞
李火火的安全圈
05-06 1284
用友捷通T-CRM是用友公司全力打造的一款基于B/S架构、拥有强大自定义功能、多部门协作(市场、销售和服务)、基于客户全生命周期管理的客户关系管理软件。客户通主要面向成长型中小企业,以客户为中心,以客户营销为目的,帮助他们 " 提升营销能力,网罗天下商机"。用友捷CRM存在SQL注入漏洞,攻击者可通过使用工具获取数据库相关敏感信息,拿到服务器控制权限。
用友-捷通T+-InitServerInfo-SQL注入
weixin_43567873的博客
03-13 151
用友-捷通T+-InitServerInfo-SQL注入
捷CRM 存在SQL注入+后台文件上传漏洞
qq_58091216的博客
12-07 1255
捷CRM是面向小企业全力打造的简单、实用的客户关系管理应用!捷CRM帮助企业用好自己的客户资源、管好商机跟进过程、引导好业务员跟单行为。捷CRM系统存在SQL注入和后台文件上传漏洞,攻击者可以通过上传木马执行任意命令,获取服务器管理权限。
【复现】捷通T-Plus SQL注入漏洞_68
fushuang333的博客
04-08 887
【复现】捷通T-Plus SQL注入漏洞,​攻击者未经授权可以访问数据库中的数据,盗取用户的隐私以及个人信息,造成用户的信息泄露。
捷通T+ 反序列化漏洞复现(QVD-2023-13615)
0xSec
06-23 4758
捷通 T+ 存在.net反序列化漏洞,未经过身份认证的攻击者可以通过构造恶意的序列化请求在目标服务器上执行任意命令。
【工具】通达漏洞综合利用工具v1.0
Wulai399的博客
06-06 712
通达漏洞综合利用工具v1.0
捷通T+任意文件上传(CNVD-2022-60632 )漏洞复现
Ryan的博客
10-13 5384
2022年8月29日和8月30日,捷通公司紧急发布安全补丁修复了捷通T+软件任意文件上传漏洞。未经身份认证的攻击者利用该漏洞,通过绕过系统鉴权,在特定配置环境下实现任意文件的上传,从而执行任意代码,获得服务器控制权限。目前,已有用户被不法分子利用该漏洞进行勒索病毒攻击的情况出现。
漏洞复现】用友捷通TPlus InitServerInfo.aspx SQL注入漏洞
https://blog.echo234.cn/
03-25 1025
捷通T+专属云适用于需要一体化管理的企业,财务管理、业务管理、零售管理、生产管理、物流管理、移动仓管、营销管理、委外加工等人财货客一体化管理。该系统在InitServerInfo.aspx接口处未对用户的输入进行过滤和校验存在SQL注入漏洞
捷通T+ InitServerInfo.aspx SQL漏洞(2024年3月发布)
m0_73896875的博客
03-14 719
由于捷通T+的InitServerInfo.aspx接口处未对用户的输入进行过滤和校验,未经身份验证的攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。漏洞等级高危影响版本漏洞类型SQL注入
用友捷通CRM存在默认空口令漏洞
nnn2188185的博客
04-23 624
用友捷通CRM存在默认空口令漏洞,攻击者可以利用默认口令登录网站后台,以后台权限进行敏感操作,构成信息泄露风险。
用友捷通CRM存在SQL注入漏洞(已修复)
无问社区的博客
12-27 514
用友捷通T-CRM是用友公司全力打造的一款基于B/S架构、拥有强大自定义功能、多部门协作(市场、销售和服务)、基于客户全生命周期管理的客户关系管理软件。客户通主要面向成长型中小企业,以客户为中心,以客户营销为目的,帮助他们 " 提升营销能力。捷CRM系统new***存在SQL注入漏洞 ,攻击者可以利用该漏洞获取网站后台数据库敏感信息,甚至接管服务器权限,构成严重风险。修复建议:对参数进行过滤,防止 sql建议升级到最新版本。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

安全攻防赵小龙

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值