漏洞描述
孚盟云 CRM 系统中,/m/Dingding/Ajax/AjaxBusinessPrice.ashx 接口的 GetContactEmailByFid 方法存在 SQL 注入漏洞,该接口在处理用户传入参数时未进行有效的过滤和参数化处理,攻击者可构造恶意 SQL 语句注入后台数据库查询,从而在未授权的情况下获取数据库中的敏感信息。
孚盟云CRM /m/Dingding/Ajax/AjaxBusinessPrice.ashx GetContactEmailByFid SQL 注入漏洞
PoC代码
暂无相关漏洞推荐
- 孚盟云CRM AjaxBusinessPriceActiveReports.ashx 存在SQL注入漏洞
- 孚盟云CRM ImportBusinessPriceFiles 存在SQL注入漏洞
- 孚盟云CRM /m/Dingding/Ajax/AjaxCustomerList.ashx SQL 注入漏洞
- 孚盟云CRM lkpClientsCust.aspx 存在SQL注入漏洞
- 孚盟云CRM AjaxCustomerList.ashx 存在SQL注入漏洞
- 孚盟云CRM AjaxCustomerInfoAtion.ashx 存在SQL注入漏洞
- 孚盟云CRM Ajax/upload.ashx SQL 注入漏洞
- 孚盟云CRM /m/Dingding/Ajax/AjaxContractList.ashx SQL 注入漏洞
- 孚盟云CRM /m/Dingding/Ajax/AjaxCustomizeReport.ashx SQL 注入漏洞
- 孚盟云CRM LicManage.ashx SQL 注入漏洞
- 孚盟云CRM /Ajax/GetDropDownListContent.ashx SQL 注入漏洞
- 孚盟云CRM /m/Dingding/Ajax/AjaxAttachment.ashx SQL 注入漏洞
- 孚盟云CRM AjaxProductTemplateList.ashx SQL 注入漏洞