本文介绍了万户ezOFFICE协同办公软件的wf_process_attrelate_aiframe.jsp存在SQL注入漏洞,该漏洞可能导致攻击者获取数据库敏感信息甚至服务器权限。详细描述了漏洞的成因、危害,并提供了复现步骤及修复建议,包括升级产品和限制路由访问。
免责声明 由于传播、利用本优快云所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,一旦造成后果请自行承担!
一、产品介绍
OA ezoffice是万户网络协同办公产品多年来一直将主要精力致力于中高端市场的一款OA协同办公软件产品。
二、漏洞描述
万户 ezOFFICE wf_process_attrelate_aiframe.jsp 未对用户输入的SQL语句进行过滤或验证导致出现SQL注入漏洞,未经身份验证的攻击者可以利用此漏洞获取数据库敏感信息。
三、漏洞危害
未授权的攻击者可利用此漏洞获取数据库权限,深入利用可获取服务器权限。
四、漏洞复现
FOFA:app="ezOFFICE协同管理平台"
通过访问/defaultroot/login.jsp获取cookie值
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
