九思OA workflowSync.getUserStatusByRole.dwr SQL注入漏洞复现

0x01 产品描述：

          九思软件的主要产品是iThink协同办公系统，该系统在技术上实现了重大突破，连续获得了多个国家软件著作权证书，并获得了“集团化协同办公产品最佳产品奖”、“中国优秀软件产品奖”等荣誉。iThink系统功能全面，涵盖了信息门户、协同工作、工作流程、公文流转、审批流程自动化等多个子系统，为企业提供高效、便捷、全面的办公解决方案‌。
0x02 漏洞描述：

          九思OA workflowSync.getUserStatusByRole.dwr接口处存在SQL注入漏洞，未经身份验证的远程攻击者可以利用 SQL 注入漏洞获取数据库中的信息(例如，管理员后台密码、站点的用户个人信息)。
0x03 搜索语句：

Fofa：app="九思软件-OA"