漏洞描述
金和OA是一款企事业单位协同办公系统。该漏洞存在于UserWebControl.UserSelect.ashx接口,由于未对用户请求进行充分验证,攻击者可以通过构造特定的POST请求泄露敏感用户信息(如用户ID、用户名)。此漏洞可能导致身份伪造或权限提升攻击,尤其是当泄露信息包含高权限账户或密码哈希时,风险进一步加剧。
金和OA /C6/ajax/UserWebControl.UserSelect.AjaxServiceMethod,UserWebControl.UserSelect.ashx 信息泄露漏洞
PoC代码
暂无相关漏洞推荐
- 金和OA AjaxForSetDecompose.ashx SQL注入漏洞
- 金和OA CompanyBudgetCollect.aspx SQL注入漏洞
- POC 金和OA CompanyBudgetCollectEdit.aspx SQL注入漏洞
- 金和OA AjaxForCenterBudgetDecompose.ashx SQL注入漏洞
- POC 金和OA ProductImport.aspx XXE漏洞
- 金和OA ProjectImport.aspx XXE漏洞
- 金和OA ProjectPlanReportDetail.aspx 存在SQL注入漏洞
- 金和OA CostReimbursementHandler.ashx 存在SQL注入
- 金和OA CompanyBudgetCollectEdit.aspx 存在SQL注入漏洞
- 金和OA ContractImport.aspx XXE漏洞
- 金和OA CertificateModify.aspx SQL注入漏洞
- POC 金和OA CustomerImport.aspx XXE漏洞
- POC 金和OA C6系统 AjaxForCompanyCollect.ashx SQL注入漏洞