| 제목 | rainrocka Xinhu RockOA v2.6.2 SQL Injection |
|---|
| 설명 | 信呼-OA系统是一个办公自动化软件,用于提高组织内部的沟通效率和管理效率。
在信呼OA系统2.6.2版本的/webmain/task/openapi/openmodhetongAction.php文件中,存在一个前台SQL注入漏洞。当$nickName变量经过base64解码后被加入到uarr数组中,并最终传递给$db->record()方法进行SQL查询时,攻击者可以利用此漏洞进行SQL注入攻击。此外,还需要注意父类openapiAction.php中的init方法,其中的Host需要属于127.0.0.1或192.168.x.x的范围。 |
|---|
| 원천 | ⚠️ https://wiki.shikangsi.com/post/share/789dad54-851b-4ec6-a1f6-11271e30db71 |
|---|
| 사용자 | XingYue_Mstir (UID 72225) |
|---|
| 제출 | 2024. 07. 21. PM 06:18 (2 연령 ago) |
|---|
| 모더레이션 | 2024. 07. 31. PM 02:10 (10 days later) |
|---|
| 상태 | 수락 |
|---|
| VulDB 항목 | 273250 [Xinhu RockOA 2.6.2 openmodhetongAction.php dataAction nickName SQL 주입] |
|---|
| 포인트들 | 20 |
|---|