漏洞描述
亿赛通电子文档安全管理系统是一款专为机关、金融及企事业单位设计的电子文档安全管理软件,提供全生命周期的数据保护。其 /CDGServer3/logManagement/LogDownLoadService 接口存在 SQL 注入漏洞,攻击者可以通过构造特定的 POST 请求,利用该漏洞对数据库执行任意 SQL 操作。攻击者可以通过注入 WAITFOR DELAY 命令,导致数据库响应时间延迟,从而确认 SQL 注入的成功。此漏洞可能导致数据库中的敏感信息泄露、篡改或删除,严重威胁系统的安全性和数据完整性。