蓝凌EIS智慧协同平台 UniformEntry.aspx 存在 SQL注入漏洞

最新推荐文章于 2025-01-08 10:13:39 发布

原创

最新推荐文章于 2025-01-08 10:13:39 发布 · 1.1k 阅读

9 ·

CC 4.0 BY-SA版权

文章标签：

#sql #数据库 #网络 #web安全 #网络安全

本文介绍了蓝凌EIS智慧协同平台存在的SQL注入漏洞，攻击者可通过未过滤的用户输入获取数据库敏感信息。建议企业联系厂商更新至最新安全版本以保障系统安全。

产品简介

蓝凌EIS智慧协同平台是一款专为企业提供高效协同办公和团队合作的产品。该平台集成了各种协同工具和功能，旨在提升企业内部沟通、协作和信息共享的效率。

漏洞概述

由于蓝凌EIS智慧协同平台 UniformEntry.asp接口处未对用户输入的SQL语句进行过滤或验证导致出现SQL注入漏洞，未经身份验证的攻击者可以利用此漏洞获取数据库敏感信息。

指纹识别

fofa:

app="Landray-EIS智慧协同平台"

漏洞利用

poc：

GET /third/DingTalk/Pages/UniformEntry.aspx?moduleid=1%20and%201=@@version

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

3tefanie

关注关注

11
点赞
踩
9

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

蓝凌EIS智慧协同平台 fl_define_flow_chart_show sql注入漏洞

m0_50797689的博客

01-26

260

蓝凌EIS智慧协同平台 fl_define_flow_chart_show sql注入漏洞

蓝凌EIS智慧协同平台 ShowUserInfo.aspx SQL注入漏洞复现

0xSec

01-10

744

由于蓝凌EIS智慧协同平台ShowUserInfo.aspx接口处未对用户输入的SQL语句进行过滤或验证导致出现SQL注入漏洞，未经身份验证的攻击者可以利用此漏洞获取数据库敏感信息。

参与评论您还未登录，请先登录后发表或查看评论

蓝凌EIS智慧协同平台 UniformEntry.aspx sql注入漏洞

Keepb1ue的博客

01-09

946

蓝凌EIS智慧协同平台是一个简单、高效的工作方式专为成长型企业打造的沟通、协同、社交的移动办公平台，覆盖OA、沟通、客户、人事、知识等管理需求，集合了非常丰富的模块，满足组织企业在知识、项目管理系统建设等需求的一款OA系统。蓝凌EIS智慧协同平台UniformEntry.aspx文件代码存在SQL注入漏洞。攻击者可通过该漏洞获取数据库敏感信息及凭证，最终可能导致服务器失陷。2.部署Web应用防火墙，对数据库操作进行监控。app=“Landray-EIS智慧协同平台”1.升级至系统最新版本。

蓝凌EIS智慧协同平台 fl_define_flow_chart_show.aspx 存在 SQL注入漏洞

3tefanie的博客

01-10

682

蓝凌EIS智慧协同平台是一款专为企业提供高效协同办公和团队合作的产品。该平台集成了各种协同工具和功能，旨在提升企业内部沟通、协作和信息共享的效率。由于蓝凌EIS智慧协同平台 fl_define_flow_chart_show.aspx接口处未对用户输入的SQL语句进行过滤或验证导致出现SQL注入漏洞，未经身份验证的攻击者可以利用此漏洞获取数据库敏感信息。

蓝凌 Landray-EIS智慧协同平台 DingTalk SQL注入漏洞

WuYSec的博客

06-11

535

蓝凌EIS智慧协同平台是一款为成长型企业提供高效协同办公和团队合作的产品。蓝凌EIS智慧协同平台存在SQL注入漏洞,攻击者可以利用这些漏洞获取数据库敏感信息。

蓝凌EIS智慧协同平台 ShowUserInfo.aspx sql注入漏洞

Keepb1ue的博客

01-09

2248

蓝凌EIS智慧协同平台是一个简单、高效的工作方式专为成长型企业打造的沟通、协同、社交的移动办公平台，覆盖OA、沟通、客户、人事、知识等管理需求，集合了非常丰富的模块，满足组织企业在知识、项目管理系统建设等需求的一款OA系统。蓝凌EIS智慧协同平台ShowUserInfo.aspx存在SQL注入漏洞。攻击者可通过该漏洞获取数据库敏感信息及凭证，最终可能导致服务器失陷。成功插入恶意的Sql语句，使得数据库查询延迟5秒。2.部署Web应用防火墙，对数据库操作进行监控。1.升级至系统最新版本。

蓝凌EIS智慧协同平台 ShowUserInfo.aspx 存在 SQL注入漏洞

3tefanie的博客

01-10

771

蓝凌EIS智慧协同平台是一款专为企业提供高效协同办公和团队合作的产品。该平台集成了各种协同工具和功能，旨在提升企业内部沟通、协作和信息共享的效率。由于蓝凌EIS智慧协同平台 ShowUserInfo.aspx接口处未对用户输入的SQL语句进行过滤或验证导致出现SQL注入漏洞，未经身份验证的攻击者可以利用此漏洞获取数据库敏感信息。

蓝凌EIS智慧协同平台 doc_fileedit_word.aspx 存在 SQL注入漏洞

3tefanie的博客

01-10

1073

蓝凌EIS智慧协同平台是一款专为企业提供高效协同办公和团队合作的产品。该平台集成了各种协同工具和功能，旨在提升企业内部沟通、协作和信息共享的效率。由于蓝凌EIS智慧协同平台 doc_fileedit_word.aspx接口处未对用户输入的SQL语句进行过滤或验证导致出现SQL注入漏洞，未经身份验证的攻击者可以利用此漏洞获取数据库敏感信息。

蓝凌EIS智慧协同平台rpt_listreport_definefield.aspx接口存在SQL注入漏洞

qq_36334672的博客

03-04

353

蓝凌EIS智慧协同平台rpt_listreport_definefield.aspx接口存在SQL注入漏洞。

【漏洞复现】蓝凌EIS智慧协同平台-ShowUserInfo-sql注入

漏洞复现

01-11

450

蓝凌EIS智慧协同平台是个自动化办公OA，具有多端同步、无缝协作,提供移动端（蓝凌KK、阿里钉钉、微信企业号）、桌面端、网页端多端应用统一入口、跨屏操作、信息同步知识云服务集成、学习与创新应用、企业2.0应用、跨系统整合等优点，并且在诸多公司也采用该平台。蓝凌EIS智慧协同平台ShowUserInfo接口存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句，成功注入并执行恶意数据库操作，可能导致敏感信息泄露、数据库被篡改或其他严重后果。

【项目实战】如何基于蓝凌OA实现调用SQL语句写入数据库

奶爸的编程之路，也就一周冷个三天，欢迎关注我的微信公众号：本本本添哥

02-22

998

蓝凌OA 如何实现调用SQL语句写入数据库 已经解决，有两种方式 1、通过机器人节点，写JDBC Insert语句的方式写入数据库 （1）初始化机器人（见如何使用流程机器人章节）方式2、调用机器人节点标准的写入数据库功能 ...

蓝凌EIS智慧协同平台 frm_form_upload.aspx 文件上传漏洞复现

0xSec

01-12

1094

蓝凌EIS智慧协同平台frm_form_upload.aspx接口处存在任意文件上传漏洞，未经过身份认证的攻击者可通过构造压缩文件上传恶意后门文件，远程命令执行，获取服务器权限。

蓝凌EIS智慧协同平台frm_form_upload.aspx接口存在任意文件上传漏洞

nnn2188185的博客

01-18

305

蓝凌EIS智慧协同平台frm_form_upload.aspx接口存在任意文件上传漏洞

蓝凌EIS fi_message_receiver.aspx Sql注入漏洞复现(CVE-2025-22214)（附脚本）

最新发布

iSee857的博客

01-08

831

蓝凌EISfi_message_receiver.aspx接口存在SQL注入漏洞，未经身份验证的恶意攻击者利用SQL注入漏洞获取数据库中的信息（例如管理员后台密码、站点用户个人信息）之外，攻击者甚至可以在高权限下向服务器写入命令，进一步获取服务器系统权限。

钉钉企业消息开发

Alaric_wang的博客

11-30

2140

钉钉企业通知消息功能开发笔记一.钉钉dingtalk.corp.message.corpconversation.asyncsend (企业会话消息异步发送) 企业可以主动发送消息给员工，此接口是/message/send的异步化版本，性能会好一点。目前支持text、image、voice、file、link、OA消息。限制：isv开发者给同一用户发消息一天不得超过50次。企

蓝凌EIS智慧协同平台 fi_message_receiver.aspx SQL注入漏洞复现(CVE-2025-22214)

0xSec

01-07

1577

蓝凌EIS智慧协同平台 fi_message_receiver.aspx 接口存在SQL注入漏洞，未经身份验证的恶意攻击者利用 SQL 注入漏洞获取数据库中的信息（例如管理员后台密码、站点用户个人信息）之外，攻击者甚至可以在高权限下向服务器写入命令，进一步获取服务器系统权限。

蓝凌EIS智慧协同平台 多处SQL注入漏洞复现

0xSec

01-12

884

由于蓝凌EIS智慧协同平台 doc_fileedit_word.aspx、frm_form_list_main.aspx、frm_button_func.aspx、fl_define_flow_chart_show.aspx等接口处未对用户输入的SQL语句进行过滤或验证导致出现SQL注入漏洞，未经身份验证的攻击者可以利用此漏洞获取数据库敏感信息。

蓝凌EIS智慧协同平台 rpt_listreport_definefield.aspx SQL注入漏洞复现

0xSec

03-04

719

由于蓝凌EIS智慧协同平台 rpt_listreport_definefield.aspx接口处未对用户输入的SQL语句进行过滤或验证导致出现SQL注入漏洞，未经身份验证的攻击者可以利用此漏洞获取数据库敏感信息。

【漏洞复现】蓝凌EIS智慧协同平台任意文件上传

zkaqlaoniao的博客

10-25

1489

蓝凌智慧协同平台是个自动化办公OA，具有多端同步、无缝协作,提供移动端（蓝凌KK、阿里钉钉、微信企业号）、桌面端、网页端多端应用统一入口、跨屏操作、信息同步知识云服务集成、学习与创新应用、企业2.0应用、跨系统整合等优点，并且在诸多公司也采用该平台。

蓝凌EIS4.0：打造智慧协同工作平台

"蓝凌EIS4.0是一款智慧协同平台，旨在通过高效的知识管理和协同工作，提升企业的运营效率和员工的工作智慧。该白皮书详细介绍了EIS4.0的设计思想、技术架构、产品特点、四大核心应用、扩展功能以及贴心服务，并通过...