漏洞描述
指挥调度管理平台的 api/reportgis.php文件存在 SQL 注入漏洞,攻击者可通过构造恶意请求参数(如 GET/POST 数据)注入非法 SQL代码,从而绕过身份验证、窃取数据库敏感信息或执行任意数据库操作。该漏洞源于代码层未对用户输入进行严格的参数化过滤或预编译处理,存在较高的安全风险。建议修复措施包括:使用参数化查询(PreparedStatements)、对输入数据进行白名单校验、升级至安全版本,并部署 WAF 进行防护。
指挥调度管理平台api/reportgis.php存在未授权SQL注入漏洞
PoC代码
暂无相关漏洞推荐
- 福建科立讯通信指挥调度管理平台 /custom/zx/upload.php 文件上传漏洞
- 指挥调度管理平台 /api/client/get_gis_fence_warning.php SQL 注入漏洞
- 福建科立讯通信 指挥调度管理平台 logout.php SQL注入漏洞
- 福建科立讯通信有限公司指挥调度管理平台vmonitor.php存在远程命令执行漏洞
- 指挥调度管理平台deletegismark.php存在SQL注入漏洞
- 指挥调度管理平台uploadgps.php存在SQL注入漏洞
- 指挥调度管理平台logout.php存在SQL注入漏洞
- 指挥调度管理平台 setkvpairs.php 存在SQL注入漏洞
- 指挥调度管理平台dolphin_login.php存在未授权SQL注入漏洞
- 福建科立讯通信指挥调度管理平台 /api/client/conference/invite_one_member.php 命令执行漏洞
- 福建科立讯通信指挥调度管理平台 /custom/zx/fax/send_fax.php 命令执行漏洞
- 福建科立讯通信指挥调度管理平台 /api/client/task/uploadfile.php 文件上传漏洞
- 福建科立讯通信指挥调度管理平台 /custom/zx/task/uploadfile.php 文件上传漏洞