漏洞描述
九佳易系统管理系统中的 Ajax_XT.ashx 通用处理程序接口存在 SQL 注入漏洞,该接口主要用于处理前端 AJAX 请求并与后端数据库进行交互。由于接口未对客户端传入的关键参数进行严格的输入校验、参数化处理或特殊字符转义,攻击者可通过构造恶意的 SQL 语句片段注入到请求参数中,使后端数据库执行非授权的 SQL 操作,进而窃取、篡改甚至销毁数据库中的敏感数据。
九佳易 /Service/Ajax_XT.ashx SQL 注入漏洞
PoC代码
暂无