漏洞描述
索贝融媒体系统的 /sobey-mchEditor/mch/statistics接口下多个方法如wxarticleList、wxarticleTotalList、queryMultiArgListCreateNname、countWxarticleByChannel、articleList、articleListTotal、articleListId、articlePaymentList、countArticleByUser、queryArgList、countArticleBysubColumn、countArticleByBaobiaoUser、getCustomFieldByCodes均存在多个SQL注入漏洞。攻击者可通过构造恶意SQL语句注入到该接口的多个参数中,进而实现任意SQL语句执行,可能导致数据库敏感信息泄露、数据篡改,甚至在部分情况下进一步获取系统控制权限。影响范围包括数据库的完整性、保密性及可用性,严重时可能危及整个系统安全。