漏洞关键信息 名称 Yonyou Space-Time Enterprise Information Integration KSOA Platform /kmf/user_popedom.jsp SQL injection 影响产品 Yonyou Space-Time Enterprise Information Integration Platform KSOA v9.0 漏洞类型 SQL injection 根源 漏洞存在于 文件中。应用通过 参数接收不可信输入,并直接连接至SQL查询,未进行适当验证或参数化。 影响 攻击者可利用此SQL注入漏洞实现未经授权的数据库访问、敏感数据泄露、数据篡改,甚至控制数据库服务器。这严重威胁系统机密性、完好性和可用性。 描述 漏洞位于 文件中的 HTTP GET参数,应用直接将未经验证的输入连接至后端SQL查询,允许未经验证的远程攻击者注入恶意SQL命令。 漏洞细节和PoC 易受攻击URL: 可利用参数: 方法: GET PoC命令 建议修复 1. 使用预编译语句: 所有数据库操作需执行参数化查询(Prepared Statements)。 2. 输入验证: 严格验证 参数,只允许其包含预期字符(如整数)。 3. 配置WAF: 部署Web应用防火墙(WAF)检测和阻止常见SQL注入模式。 4. 错误处理: 禁用前端详细数据库错误信息,防止信息泄露。