Submit #378320: rainrocka Xinhu RockOA v2.6.2 SQL Injectioninfo

Titel	rainrocka Xinhu RockOA v2.6.2 SQL Injection
Beschreibung	信呼-OA系统是一个办公自动化软件，用于提高组织内部的沟通效率和管理效率。在信呼OA系统2.6.2版本的/webmain/task/openapi/openmodhetongAction.php文件中，存在一个前台SQL注入漏洞。当$nickName变量经过base64解码后被加入到uarr数组中，并最终传递给$db->record()方法进行SQL查询时，攻击者可以利用此漏洞进行SQL注入攻击。此外，还需要注意父类openapiAction.php中的init方法，其中的Host需要属于127.0.0.1或192.168.x.x的范围。
Quelle	⚠️ https://wiki.shikangsi.com/post/share/789dad54-851b-4ec6-a1f6-11271e30db71
Benutzer	XingYue_Mstir (UID 72225)
Einreichung	21.07.2024 18:18 (vor 2 Jahren)
Moderieren	31.07.2024 14:10 (10 days later)
Status	Akzeptiert
VulDB Eintrag	273250 [Xinhu RockOA 2.6.2 openmodhetongAction.php dataAction nickName SQL Injection]
Punkte	20

Do you want to use VulDB in your project?

Use the official API to access entries easily!