本文介绍了浙大恩特客户资源管理系统中的FollowAction SQL注入漏洞,详细阐述了漏洞的危害,即未经认证的攻击者可能获取数据库敏感信息,并提供了漏洞复现步骤和Nuclei POC。同时,给出了修复建议,如限制接口访问IP。
免责声明 由于传播、利用本优快云所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,一旦造成后果请自行承担!
一、产品介绍
浙大恩特客户资源管理系统是一款针对企业客户资源管理的软件产品。该系统旨在帮助企业高效地管理和利用客户资源,提升销售和市场营销的效果。
二、漏洞描述
浙大恩特客户资源管理系统 FollowAction 接口处存在SQL注入漏洞,未经身份认证的攻击者可以利用该漏洞获取系统数据库敏感信息,深入利用可获取服务器权限。
三、漏洞危害
未经过身份认证的远程攻击者可利用此漏洞执行任意SQL命令,从而获取服务器敏感信息。
四、漏洞复现
FOFA:app="浙大恩特客户资源管理系统"
POC如下
GET /entsoft/F
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
