本文介绍了金和数字化智能办公平台(JC6)的GetAttOut接口存在的SQL注入漏洞,详细阐述了漏洞描述、危害,并提供了漏洞复现的POC,同时给出了修复建议,包括限制公网访问。
免责声明 由于传播、利用本优快云所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,一旦造成后果请自行承担!
一、产品介绍
金和数字化智能办公平台(简称JC6)是一款结合了人工智能技术的数字化办公平台,为企业带来了智能化的办公体验和全面的数字化转型支持。
二、漏洞描述
金和OA jc6 GetAttOut 接口处存在SQL注入漏洞,未授权恶意用户可利用此漏洞获取服务器敏感数据,并且可进一步提升至webshell达到主机沦陷。
三、漏洞危害
未授权恶意用户可利用此漏洞获取服务器敏感数据,并且可进一步提升至webshell达到主机沦陷。
四、漏洞复现
FOFA:body="/jc6/platform/sys/login"
POC如下
<
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
