漏洞描述 金和oa协同管理平台(又称金和C6协调管理平台),金和C6 在/IncentivePlanFulfillAppprove接口存在SQL注入漏洞,未经身份验证的恶意攻击者利用 SQL注入漏洞获取数据库中的信息(例如管理员后台密码、站点用户个人信息)之外,攻击者甚至可以在高权限下向服务器写入命令,进一步获取服务器系统权限。
相关漏洞推荐 金和OA C6 /C6/JHSoft.Web.IncentivePlan/IncentivePlanFulfillAppprove.aspx SQL 注入漏洞 POC 金和C6 FileUpload.aspx 存在任意文件读取漏洞 金和C6协同管理平台 DBModules.aspx存在SQL注入漏洞 金和-c6 FileDownLoad存在任意文件读取漏洞 金和C6协同管理平台存在敏感信息泄露漏洞。