金和OA SAP_B1Config.aspx存在未授权访问漏洞

最新推荐文章于 2024-12-31 17:33:15 发布
原创 最新推荐文章于 2024-12-31 17:33:15 发布 · 826 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全 #安全

本文介绍了金和网络作为专业服务商提供的服务,包括监管解决方案和OA系统开发平台,同时揭示了OASAP_B1Config.aspx存在的未授权访问漏洞,可能泄露敏感数据。建议用户联系厂商更新至最新安全版本以保障信息安全。

产品简介

金和网络是专业信息化服务商,为城市监管部门提供了互联网+监管解决方案,为企事业单位提供组织协同OA系统升开发平台,电子政务一体化平台智慧电商平合等服务

漏洞概述

金和OA SAP_B1Config.aspx存在未授权访问漏洞,攻击者可通过此漏洞获取数据库的账户密码等敏感信息。

指纹识别

fofa:

app="金和网络-金和OA"

漏洞利用

poc:

/C6/JHsoft.CostEAI/SAP_B1Config.aspx/?manage=1

泄露数据库的连接账户和密码
在这里插入图片描述

修复建议

联系软件厂商更新至最新安全版本
【有些话可以不说透,自欺欺人,就可以糊涂一世,打打闹闹轻轻松松。】

金和OA GetAttOut接口存在SQL注入漏洞
nnn2188185的博客
01-12 283
微信公众号搜索:南风漏洞复现文库 该文章 南风漏洞复现文库 公众号首发金和数字化智能办公平台(简称JC6)是一款结合了人工智能技术的数字化办公平台,为企业带来了智能化的办公体验和全面的数字化转型支持。同时符合国家信创认证标准,支持组织数字化转型,实现业务流程的数字化、智能化和协同化,提高企业竞争力。
金和OA任意文件读取漏洞
xiaokp7的博客
09-13 620
金和OA协同办公管理系统C6软件共有20多个应用模块,160多个应用子模块,涉及的企业管理业务包括协同办公管理、人力资源管理、项目管理、客户关系管理、企业目标管理、费用管理等多个业务范围,从功能型的协同办公平台上升到管理型协同管理平台,并不断的更新完善,全面支撑企业发展,提供专业oa,oa系统,oa办公系统,办公自动化软件,协同办公管理系统.支持oa办公自动化系统免费在线试用金和OA系统存在任意文件读取漏洞,攻击者通过恶意构造的请求下载服务器上的任意文件,包括敏感文件、配置文件、数据库文件等。
漏洞复现】金和OA 未授权访问
2301_80127209的博客
06-28 725
金和OA协同办公管理系统C6软件(简称金和OA),本着简单、适用、高效的原则,贴合企事业单位的实际需求,实行通用化、标准化、智能化、人性化的产品设计,充分体现企事业单位规范管理、提高办公效率的核心思想,为用户提供一整套标准的办公自动化解决方案,以帮助企事业单位迅速建立便捷规范的办公环境。金和OA sap-b1config-aspx接口存在未授权,攻击者可通过此漏洞获取敏感信息。
漏洞复现-金和OA SAP_B1Config.aspx未授权访问漏洞
weixin_69010236的博客
01-10 629
金和QA办公系统是.款集合了办公自动化协同办公工作流管理等功能的企业级管理软件。金和OA办公系统提供了多个模块,包括日程管理、文件管理、邮件管理、人事管理、客户管理、项目管理等。用户可以根据自己的需求选择需要的模块进行使用。该系统存在未授权访问漏洞,攻击者可通过此漏洞获取数据库的账户密码等敏感信息。
金和OA C6 SAP_B1Config.aspx 未授权漏洞
Keepb1ue的博客
01-06 3020
金和网络是专业信息化服务商,为城市监管部门提供了互联网+监管解决方案,为企事业单位提供组织协同OA系统开发平台,电子政务一体化平台,智慧电商平台等服务。
金和OA upload_json.asp存在任意文件上传漏洞
3tefanie的博客
01-03 860
【红豆生南国,春来发枝冬凋敝,相思不如不相思。】
金和OA-C6 ApproveRemindSetExec.aspx XXE漏洞复现(CNVD-2024-40568)
iSee857的博客
10-30 958
的六个核心要素:文化 Culture、 沟通Communication 、 协作Collaboration 、创新 Creation、 控制 Control、中心 Center,而构建了结构化的、灵活集成的、动态响应的、面向。Dtd内容是XXE无回显利用方式,将内容外带到其他地方,将内容通过get.php写入file.txt。官方已修复该漏洞,请用户联系厂商修复漏洞:http://www.jinher.com/构造dtd用以读取,dtd里内容构造vps读取。构造完成后vps启动服务用于信息监听。
漏洞复现】金和OA C6 FileDownLoad.aspx 任意文件读取漏洞复现
最新发布
m0_71944965的博客
12-31 251
金和OA C6 FileDownLoad.aspx接口存在任意文件读取漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。
金和OA C6 DBModules.aspx SQL注入漏洞复现
0xSec
08-23 695
金和OA C6 DBModules.aspx 接口处存在SQL注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
金和OA C6 gethomeinfo sql注入漏洞
Keepb1ue的博客
12-25 2415
金和网络是专业信息化服务商,为城市监管部门提供了互联网+监管解决方案,为企事业单位提供组织协同OA系统开发平台,电子政务一体化平台,智慧电商平台等服务。金和 OA C6 gethomeinfo接口处存在SQL注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
金和OA GetTreeDate.aspx SQL注入漏洞
xiaokp7的博客
09-22 752
金和OA协同办公管理系统C6软件共有20多个应用模块,160多个应用子模块,涉及的企业管理业务包括协同办公管理、人力资源管理、项目管理、客户关系管理、企业目标管理、费用管理等多个业务范围,从功能型的协同办公平台上升到管理型协同管理平台,并不断的更新完善,全面支撑企业发展,提供专业oa,oa系统,oa办公系统,办公自动化软件,协同办公管理系统.支持oa办公自动化系统免费在线试用。金和OA GetTreeDate存在SQL注入漏洞
金和OA jc6 clobfield接口存在SQL注入漏洞
3tefanie的博客
12-19 958
【一个人活着时无论怎样苦口婆心劝说都听不进去的话,等到人不在了,那些话却像印上文件的朱记,抹都抹不去。】
金和OA GetSqlData.aspx 远程命令执行漏洞
xiaokp7的博客
09-13 953
金和OA协同办公管理系统C6软件共有20多个应用模块,160多个应用子模块,涉及的企业管理业务包括协同办公管理、人力资源管理、项目管理、客户关系管理、企业目标管理、费用管理等多个业务范围,从功能型的协同办公平台上升到管理型协同管理平台,并不断的更新完善,全面支撑企业发展,提供专业oa,oa系统,oa办公系统,办公自动化软件,协同办公管理系统.支持oa办公自动化系统免费在线试用。金和OA GetTreeDate存在SQL注入漏洞
金和OA jc6 ntko-upload 任意文件上传漏洞
3tefanie的博客
01-03 1196
【是人就有私心,就容易走错路。】
金和OA C6 UploadFileEditorSave.aspx 任意文件上传漏洞
Keepb1ue的博客
01-06 2273
金和网络是专业信息化服务商,为城市监管部门提供了互联网+监管解决方案,为企事业单位提供组织协同OA系统开发平台,电子政务一体化平台,智慧电商平台等服务。金和 OA C6 uploadfileeditorsave接口处存在任意文件上传漏洞,攻击者可以通过构造特殊请求包上传恶意后门文件,从而获取服务器权限。
漏洞复现】金和OA C6 ApproveRemindSetExec.aspx XXE漏洞(CNVD-2024-40568)
m0_71944965的博客
12-05 474
金和 ApproveRemindSetExec.aspx 接口处存在XML实体注入漏洞,攻击者可利用xxe漏洞获取服务器敏感数据,可读取任意文件以及ssrf攻击,存在一定的安全隐患。
金和OA_XmlDeal接口存在XXE漏洞
m0_46604997的博客
05-17 635
金和网络是专业信息化服务商,为城市监管部门提供了互联网+监管解决方案,为企事业单位提供组织协同OA系统开发平台,电子政务一体化平台,智慧电商平台等服务.二、漏洞描述金和OA C6系统XmlDeal接口存在XXE漏洞,应用程序在解析XML数据时,没有正确验证或限制实体引用,攻击者就可以通过构造恶意的XML输入,将外部实体引用进来,从而执行恶意操作。
漏洞复现-金和OA GetAttOut接口SQL注入漏洞(附漏洞检测脚本)
jjjj1029056414的博客
01-14 1107
漏洞复现-金和OA GetAttOut接口SQL注入漏洞,附带自己写的poc脚本
金和OA jc6 GetAttOut SQL注入漏洞复现
Keepb1ue的博客
01-12 811
金和OA协同办公管理系统j6软件是一种综合性的协同办公解决方案,旨在提高企业内部的协作效率和工作效率。它提供了一系列功能和工具,帮助组织进行任务管理、日程安排、文件共享、团队协作和沟通等方面的工作金和 OA jc6 /jc6/JHSoft.WCF/TEST/GetAttOut接口处存在SQL注入漏洞,攻击者不仅可以利用 SQL 注入漏洞获取数据库中的敏感信息,还可以向服务器中写入恶意木马或者执行命令远程下载后门,获取服务器系统权限。
金和OA_C6_用户入门指南
"金和OA_C6_用户手册.pdf" 金和协同管理平台专业版C6/P是一款企业级的办公自动化系统,旨在提升企业的协同工作效率。该用户手册详细介绍了系统的使用方法,适合入门级用户和新员工培训。手册涵盖的内容广泛,帮助...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值