漏洞描述
金慧综合管理信息系统是上海金慧软件有限公司基于多年行业系统研发和实施经验,为各类企业量身定制的一套综合性管理解决方案。该系统旨在通过信息化手段,提升企业的管理效率,优化资源配置,实现办公自动化和无纸化办公。由于金慧综合管理信息系统LoginBegin.aspx没有对外部输入的SQL语句进行严格的校验和过滤,直接带入数据库执行,导致未经身份验证的远程攻击者可以利用SQL注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。