漏洞名称:瑞友天翼应用虚拟化系统 /hmrao.php SQL注入漏洞
English Name: Ruiyou-Tianyi-App-Virtualization-Delivery-Platform /hmrao.php SQL Injection Vulnerability
CVSS core: 9.8
影响资产数:75202
漏洞描述:
瑞友天翼应用虚拟化系统是基于服务器计算(Server-based Computing)架构的应用虚拟化平台。它将用户 各种应用软件(ERP/OA/CRM…)集中部署在瑞友天翼服务器(群)上,客户端通过 WEB 即可快速安全的访问经服务器上授权 的应用软件,实现集中应用、远程接入、协同办公等,从而为用户打造集中、便捷、安全、高效的虚拟化支撑平台。瑞友天翼应用虚拟化系统/hmrao.php路径下存在SQL注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
FOFA查询语句:
app=“瑞友天翼-应用虚拟化交付平台”
此漏洞已可在Goby漏扫/红队版进行扫描验证
