关键信息 影响产品 产品: Jinhe OA (Jisoft OA) 受影响组件: /C6/jsoft/Web.departments/GetTreeDate.aspx 厂商信息 厂商: Jinhe Network (jisoft) 厂商网站: http://www.jinhercm.com/ 影响版本 版本: 1.2 报告人 报告人: abc_123456 漏洞文件 文件路径: /C6/jsoft/Web.departments/GetTreeDate.aspx 漏洞类型 SQL 注入 根因 "id" 参数直接拼接到 SQL 查询中,未进行适当的验证或参数化,允许攻击者执行任意 SQL 命令。 影响 未经授权访问敏感用户数据和业务信息 潜在的权限提升通过数据库访问 可能的远程代码执行在数据库服务器上 完全破坏 OA 系统和数据 描述 在 Jinhe OA 的 GetTreeDate.aspx 组件中发现了一个关键的 SQL 注入漏洞。"id" 参数易受 SQL 注入攻击,允许未认证的攻击者在后端数据库上执行任意 SQL 查询。 不需要身份验证 利用此漏洞不需要任何身份验证或对系统的先前访问。 漏洞细节与 POC 易受攻击的参数: id 攻击向量: HTTP GET 请求 Proof-of-Concept 请求 sqlmap 检测命令 数据库信息 后端 DBMS: Microsoft SQL Server 推荐修复措施 1. 实现使用预编译语句的参数化查询。 2. 对所有用户输入应用严格的输入验证和过滤。 3. 对数据库帐户实施最小特权原则。 4. 进行全面的代码安全审计。 5. 部署 Web 应用程序防火墙作为临时保护。 6. 定期进行安全测试和渗透测试。