漏洞名称:商混ERP系统 DictionaryEdit.aspx 页面存在SQL注入
English Name:SQL injection exists on Lotus ERP DictionaryEdit.aspx pag
CVSS core: 8.5
影响资产数:616
漏洞描述:
杭州荷花软件有限公司开发的商混ERP系统。这套系统主要是处理建筑公司或者各项工程的搅拌站管理,内部含有销售模块、生产管理模块、实验室模块、人员管理等,该公司的商品混凝土ERP系统/Sys/DictionaryEdit.aspx处dict_key参数存在SQL报错注入漏洞,攻击者可通过该漏洞获取数据库权限。
漏洞影响:
攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
FOFA查询语句(点击直接查看结果):
title=“商混ERP系统”
此漏洞已可在Goby漏扫/红队版进行扫描验证
