关键信息总结 影响产品 产品: Jinhe OA (Jinsoft OA) 受影响组件: Cgjhsot/Web.appraise/GetTreeDate.aspx 厂商信息 厂商: Jinhe Network (jinsoft) 厂商网站: http://www.jinhercom/ 受影响版本 版本: V1.0 报告人 报告人: Security Researcher 漏洞文件 文件: Cgjhsot/Web.appraise/GetTreeDate.aspx 漏洞类型 类型: SQL Injection 根因 参数直接拼接到SQL查询中,未进行适当验证或参数化,允许攻击者执行任意SQL命令。 影响 未经授权访问敏感用户数据和业务信息 通过数据库访问可能的权限提升 在数据库服务器上可能的远程代码执行 OA系统和数据的完全破坏 描述 在Jinhe OA的GetTreeDate.aspx组件中发现了一个关键的SQL注入漏洞。 参数易受SQL注入攻击,允许未认证的攻击者在后端数据库上执行任意SQL查询。 不需要身份验证 利用此漏洞不需要任何身份验证或对系统的先前访问。 漏洞细节与POC 易受攻击的参数: id 攻击向量: HTTP GET请求 Proof-of-Concept Request sqlmap检测命令 数据库信息 后端DBMS: Microsoft SQL Server 推荐修复措施 1. 使用预编译语句实现参数化查询。 2. 对所有用户输入应用严格的输入验证和过滤。 3. 对数据库帐户实施最小特权原则。 4. 进行全面的代码安全审计。 5. 部署Web应用程序防火墙作为临时保护。 6. 定期进行安全测试和渗透测试。