漏洞描述
该漏洞存在于泛微e-cology的/weaver/weaver.formmode.setup.FormmodeFieldBrowserServlet接口,该接口接收用户请求参数,当action为select时,接收用户传递过来的type参数,直接拼接进行SQL语句执行,从而导致SQL注入漏洞。攻击者可利用该漏洞获取数据库敏感信息以及服务器控制权限。
泛微e-cology9 FormmodeFieldBrowserServlet SQL注入漏洞
PoC代码
暂无暂无