金和OA 漏洞列表

金和OA AcceptGetSourceFileName.aspx 存在SQL注入漏洞，攻击者可构造恶意请求获取数据库敏感信息。

金和OA AcceptGetFileNameEdit.aspx 存在SQL注入漏洞，攻击者可构造恶意请求获取数据库敏感信息。

金和OA FileDelete.aspx 存在SQL注入漏洞，攻击者可构造恶意请求获取数据库敏感信息。

GeoServer是一个功能齐全,遵循OGC开放标准的开源WFS-T和WMS服务器。CVE-2024-29198 中，攻击者可构造恶意请求，利用SSRF扫描内网，获取相关敏感信息。GeoServer TestWFSpost 存在SSRF漏洞。 fofa：app="GeoServer"

金和OA C6 AddTask.aspx 接口处存在SQL注入漏洞 fofa:icon_hash="1259797304"

金和OA-C6系统接口ActionDataSet存在XXE漏洞，攻击者可利用xxe漏洞获取服务器敏感数据，可读取任意文件以及ssrf攻击，存在一定的安全隐患 fofa：app="金和网络-金和OA"

金和网络是专业信息化服务商,为城市监管部门提供了互联网+监管解决方案,为企事业单位提供组织协同OA系统开发平台,电子政务一体化平台,智慧电商平台等服务。金和OA C6 CheckPwd.aspx 接口处存在XXE漏洞，未授权的攻击者可以通过此漏洞读取服务器上敏感文件或探测内网服务信息，进一步利用可导致服务器失陷。 fofa: app="金和网络-金和OA"

FOFA: app="金和网络-金和OA" FOFA: body="src=\"/c6/WebResource.axd"

Fofa: app="金和网络-金和OA" && body="/c6/"

Fofa: title="金和协同管理平台" || app="金和网络-金和OA" || body="src=\"/c6/WebResource.axd"

金和OA jc6/servlet/Upload接口存在任意文件上传漏洞。 Fofa: app="金和网络-金和OA"||body="/jc6/platform/sys/login"

金和OA C6 download.jsp文件存在任意文件读取漏洞，攻击者通过漏洞可以获取服务器中的敏感信息 app="金和网络-金和OA"

app="金和网络-金和OA"

Fofa app="金和网络-金和OA"

金和网络是专业信息化服务商,为城市监管部门提供了互联网+监管解决方案,为企事业单位提供组织协同OA系统开发平台,电子政务一体化平台,智慧电商平台等服务。金和OA C6 AddressImportPub.aspx 接口处存在XXE漏洞，未授权的攻击者可以通过此漏洞读取服务器上敏感文件或探测内网服务信息，进一步利用可导致服务器失陷 fofa: app="金和网络-金和OA"

金和OA C6 CallSystemShow.aspx 接口处存在SQL注入漏洞，攻击者除了可以利用 SQL注入漏洞获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。

SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码，从而绕过应用程序的安全措施，直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下，使得攻击者能够获取、修改或删除数据库中的数据，甚至可能执行服务器上的任意代码。

SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码，从而绕过应用程序的安全措施，直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下，使得攻击者能够获取、修改或删除数据库中的数据，甚至可能执行服务器上的任意代码。

金和OA C6 XmlHttp.aspx接口处存在XML实体注入漏洞，攻击者可利用XXE漏洞获取服务器敏感数据，可读取任意文件以及ssrf攻击，存在一定的安全隐患。

金和OA C6是一款企业办公自动化系统，提供全面的办公管理功能。其 /C6/JHSoft.Web.IncentivePlan/IncentivePlanFulfillAppprove.aspx 接口存在SQL注入漏洞，攻击者可通过构造恶意SQL语句，未经授权访问数据库，获取敏感信息或对数据库进行破坏性操作。

金和OA C6是一款由金和软件公司开发的协同办公管理平台，旨在提升企业的办公效率和管理水平。该平台的 /c6/jhsoft.mobileapp/AndroidSevices/HomeService.asmx/GetHomeInfo 接口存在SQL注入漏洞，攻击者可以通过构造恶意的SQL语句，未经授权地访问或修改数据库中的敏感数据，可能导致数据泄露或篡改。

金和OA-C6系统是一款由金和网络开发的办公自动化系统，旨在提升企业的办公效率和管理能力。系统的 /C6/JHSoft.Web.ask/SignUpload.ashx 接口存在SQL注入漏洞，攻击者可以通过该漏洞构造恶意SQL语句，未经授权访问数据库，获取敏感信息或对数据库进行破坏性操作。

金和OA 是一款企业办公自动化系统。该漏洞存在于 /jc6/ntkoUpload/ntko-upload!upload.action 接口，攻击者可以通过上传特制的文件，在服务器上执行任意代码，可能导致敏感信息泄露、数据篡改及服务器被完全控制。

金和 /c6/Jhsoft.Web.Project/ProjectOffice/ProjectScheduleDelete.aspx 存在 XML 外部实体注入漏洞，攻击者可以通过构造恶意的 XML 请求来利用该漏洞。

金和 /c6/JHSoft.Web.DailyTaskManage/XmlHttp.aspx 存在 XML 外部实体注入漏洞，攻击者可以通过构造恶意的 XML 请求来利用该漏洞。

金和 /c6/Jhsoft.Web.dailytaskmanage/AddTask.aspx 存在 XML 外部实体注入漏洞，攻击者可以通过构造恶意的 XML 请求来利用该漏洞。

金和OA是一款广泛应用于企业协同管理的办公自动化系统。金和OA的 /c6/jhsoft.wcf/functionnew/FileUpload.aspx 接口存在文件读取漏洞，攻击者可以通过该漏洞读取系统中的重要文件，可能导致敏感信息泄露，增加系统被进一步攻击的风险。

金和OA C6 DailyTaskListInfo.aspx 接口处存在SQL注入漏洞，攻击者除了可以利用 SQL注入漏洞获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。

金和OA C6 Dealxml.aspx接口处存在XML实体注入漏洞，攻击者可利用xxe漏洞获取服务器敏感数据，可读取任意文件以及ssrf攻击，存在一定的安全隐患。

金和OA协同管理平台是一款广泛应用于企业和组织的协同办公软件，提供高效的办公自动化解决方案。金和OA的 /c6/JHSoft.Web.Appraise/DealXml.aspx 接口存在XML外部实体注入（XXE）漏洞，攻击者可以通过构造恶意的XML数据，利用该漏洞读取服务器上的敏感文件或执行其他恶意操作，可能导致信息泄露或系统被进一步攻击。

文件读取漏洞是指攻击者通过某种方式获取对系统文件的读取权限，从而访问敏感信息，如配置文件、源代码、用户数据等。这种漏洞通常是由于应用程序未正确实施权限控制或者未对用户输入进行充分过滤和验证导致的。

金和OA ArchivesFileTraceSearch 存在SQL注入漏洞，攻击者可以构造恶意sql语句并执行，获取数据库敏感信息以及权限。

金和 OA C6 存在SQL注入漏洞，攻击者可以通过构造恶意的SQL语句，利用该漏洞获取数据库中的敏感信息，可能导致数据泄露、篡改或系统被控制。

金和OA C6 ModuleTaskView.aspx 接口处存在SQL注入漏洞，攻击者除了可以利用 SQL注入漏洞获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。

金和 /c6/Jhsoft.Web.message/ToolBar/DelTemp.aspx 存在 XML 外部实体注入漏洞，攻击者可以通过构造恶意的 XML 请求来利用该漏洞。

金和OA C6 IsHaveFTask.aspx 接口处存在XXE漏洞，攻击者可以通过XXE漏洞读取服务器上敏感文件或探测内网服务信息。

金和OA C6 IsHaveFTask.aspx 接口处存在SQL注入漏洞，攻击者可以利用 SQL 注入漏洞获取数据库中的信息

金和OA C6 TaskReportConfirm.aspx 接口处存在SQL注入漏洞，攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息

金和OA C6 AddTask.aspx 接口处存在SQL注入漏洞，攻击者除了可以利用 SQL注入漏洞获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。

金和OA是一款企事业单位协同办公系统。该漏洞存在于UserWebControl.UserSelect.ashx接口，由于未对用户请求进行充分验证，攻击者可以通过构造特定的POST请求泄露敏感用户信息（如用户ID、用户名）。此漏洞可能导致身份伪造或权限提升攻击，尤其是当泄露信息包含高权限账户或密码哈希时，风险进一步加剧。

金和OA-C6系统的接口ActionDataSet存在XML外部实体注入（XXE）漏洞。攻击者可以通过构造恶意的XML数据包，利用该漏洞读取服务器上的任意文件或发起SSRF攻击，从而获取敏感数据或对内部网络进行进一步的攻击，存在较大的安全隐患。

SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码，从而绕过应用程序的安全措施，直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下，使得攻击者能够获取、修改或删除数据库中的数据，甚至可能执行服务器上的任意代码。

XXE漏洞，即XML外部实体注入漏洞，是由于应用程序处理XML输入时，未正确配置或过滤外部实体引用导致的安全漏洞。攻击者可以通过构造恶意XML数据，导致服务器端信息泄露、拒绝服务攻击、远程代码执行等严重后果。

XXE漏洞，即XML外部实体注入漏洞，是由于应用程序处理XML输入时，未正确配置或过滤外部实体引用导致的安全漏洞。攻击者可以通过构造恶意XML数据，导致服务器端信息泄露、拒绝服务攻击、远程代码执行等严重后果。

金和OA协同办公管理系统C6软件 /jc6/servlet/ActionDataSet 接口存在XXE漏洞。

文件上传漏洞发生在应用程序允许用户上传文件的功能中，如果上传功能未能正确地验证和限制上传文件的类型和内容，攻击者可能利用此漏洞上传恶意文件，如包含可执行代码的脚本文件，从而在服务器上执行任意命令，控制或破坏系统。

SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码，从而绕过应用程序的安全措施，直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下，使得攻击者能够获取、修改或删除数据库中的数据，甚至可能执行服务器上的任意代码。

金和数字化智能办公平台（简称JC6）是一款结合了人工智能技术的数字化办公平台，为企业带来了智能化的办公体验和全面的数字化转型支持。金和JC6协同管理平台oaplusrangedownloadfile 存在文件下载漏洞。

XXE漏洞，即XML外部实体注入漏洞，是由于应用程序处理XML输入时，未正确配置或过滤外部实体引用导致的安全漏洞。攻击者可以通过构造恶意XML数据，导致服务器端信息泄露、拒绝服务攻击、远程代码执行等严重后果。

XXE漏洞，即XML外部实体注入漏洞，是由于应用程序处理XML输入时，未正确配置或过滤外部实体引用导致的安全漏洞。攻击者可以通过构造恶意XML数据，导致服务器端信息泄露、拒绝服务攻击、远程代码执行等严重后果。

金和OA ApproveRemindSetExec.aspx 存在XML实体注入漏洞,攻击者可获取服务器内部敏感信息，读取任意配置文件

金和QA办公系统是.款集合了办公自动化协同办公工作流管理等功能的企业级管理软件。金和OA办公系统提供了多个模块，包括日程管理、文件管理、邮件管理、人事管理、客户管理、项目管理等。用户可以根据自己的需求选择需要的模块进行使用。该系统/SAP_B1Config.aspx存在未授权访问漏洞，攻击者可通过此漏洞获取数据库的账户密码等敏感信息 

金和OA是一款集协同办公管理、人力资源管理、项目管理、客户关系管理、企业目标管理、费用管理等多个业务范围于一体的管理平台。金和OA系统接口SignUpload.ashx存在SQL注入漏洞，允许攻击者通过恶意构造的SQL语句操控数据库，从而导致数据泄露、篡改或破坏，严重威胁系统安全。

金和网络是专业信息化服务商,为城市监管部门提供了互联网+监管解决方案,为企事业单位提供组织协同OA系统开发平台,电子政务一体化平台,智慧电商平台等服务。金和OA-C6接口DownLoadBgImage存在任意文件读取漏洞，未经身份验证攻击者可通过该漏洞读取系统重要文件（如数据库配置文件、系统配置文件）、数据库配置文件等等，导致网站处于极度不安全状态。

SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码，从而绕过应用程序的安全措施，直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下，使得攻击者能够获取、修改或删除数据库中的数据，甚至可能执行服务器上的任意代码。

金和OA协同办公管理系统C6软件共有20多个应用模块，160多个应用子模块，涉及的企业管理业务包括协同办公管理、人力资源管理、项目管理、客户关系管理、企业目标管理、费用管理等多个业务范围，从功能型的协同办公平台上升到管理型协同管理平台，并不断的更新完善，全面支撑企业发展。金和OAC6 存在SQL注入漏洞，攻击者可以通过该漏洞获取服务器信息。

金和OA系统存在SQL注入漏洞。该漏洞出现在 /C6/Jhsoft.Web.ask/SignUpload.ashx 路径中，攻击者可以通过注入恶意SQL代码来操纵数据库。在成功利用此漏洞后，攻击者不仅可以读取、修改或删除数据库中的敏感数据，还可能进一步获取数据库服务器的系统权限，执行系统命令，从而对整个系统造成更广泛的破坏和控制。

金和OA系统存在SQL注入漏洞。该漏洞出现在 /C6/JHSoft.Web.WorkFlat/DBModules.aspx 路径中，攻击者可以通过注入恶意SQL代码来操纵数据库。在成功利用此漏洞后，攻击者不仅可以读取、修改或删除数据库中的敏感数据，还可能进一步获取数据库服务器的系统权限，执行系统命令，从而对整个系统造成更广泛的破坏和控制。

金和OA C6存在SQL注入漏洞。此漏洞是由于UploadFileEditor.aspx对用户发送的请求缺乏校验导致的。

SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码，从而绕过应用程序的安全措施，直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下，使得攻击者能够获取、修改或删除数据库中的数据，甚至可能执行服务器上的任意代码。

金和OA C6存在SQL注入漏洞。此漏洞是由于RssModulesHttp.aspx对用户发送的请求缺乏校验导致的。

金和OA  /c6/JHSoft.Web.CustomQuery/UploadFileDownLoadnew.aspx存在任意文件读取漏洞。未经身份验证的攻击者可能通过该漏洞读取系统中的任意文件，包括敏感文件、配置文件和数据库文件等

金和网络是专业信息化服务商,为城市监管部门提供了互联网+监管解决方案,为企事业单位提供组织协同OA系统开发平台,电子政务一体化平台,智慧电商平台等服务。旗下金和OA系统upload存在接口未授权访问，攻击者可通过该漏洞获取敏感信息。

金和OA C6存在任意文件上传漏洞。此漏洞是由于UploadFileEditorSave.aspx对用户发送的请求缺乏校验导致的。

金和OA存在任意文件上传漏洞，该漏洞是由于Upload接口对用户发送的请求验证不当导致的。

金和OA存在SQL注入漏洞，该漏洞是由于IncentivePlanFulfill接口对用户发送的请求验证不当导致的。

金和OA存在SQL注入漏洞，该漏洞是由于GetHomeInfo接口对用户发送的请求验证不当导致的。

金和OA存在SQL注入漏洞，该漏洞是由于MailTemplates接口对用户发送的请求验证不当导致的。

金和OA存在SQL注入漏洞，该漏洞是由于clobfield接口对用户发送的请求验证不当导致的。

金和OA存在未授权访问漏洞，此漏洞是由于接口SAP_B1Config.aspx对用户权限验证不足导致的。

金和OA存在未授权访问漏洞。此漏洞是由于接口CarCardInfo.aspx对用户权限验证不足导致的。

金和 OA存在SQL注入漏洞。此漏洞是由于对用户发送的请求缺乏校验导致的。

SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码，从而绕过应用程序的安全措施，直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下，使得攻击者能够获取、修改或删除数据库中的数据，甚至可能执行服务器上的任意代码。

金和OA是一款集协同办公管理、人力资源管理、项目管理、客户关系管理、企业目标管理、费用管理等多个业务范围于一体的管理平台。金和OAGeneralXmlhttpPage.aspx 存在SQL注入漏洞，攻击者可利用此漏洞获取数据库中敏感信息。

金和OA是一款集协同办公管理、人力资源管理、项目管理、客户关系管理、企业目标管理、费用管理等多个业务范围于一体的管理平台。金和OA C6DownLoadBgImage 存在任意文件读取漏洞，未经授权的攻击者可以通过该漏洞读取服务器上的任意文件

金和OA GeneralXmlhttpPage.aspx 存在SQL注入漏洞，可利用该漏洞获取数据库中的敏感数据等。

金和OA存在任意文件上传漏洞，此漏洞是由于ntkoupload接口对用户请求中上传的文件验证不当导致的。

金和OA存在任意文件上传漏洞，此漏洞是由于OfficeServer接口对用户的请求验证不当导致的。

金和OA中存在任意文件读取漏洞，此漏洞是由于FileDownLoad.aspx未充分验证用户输入的数据所导致的。

金和OA存在任意文件读取漏洞，该漏洞是由于UploadFileDownLoadnew接口对用户的请求验证不当造成的。

金和OA存在信息泄露漏洞，此漏洞是由于DownLoadBgImage.aspx未充分验证用户输入的数据所导致的。

Jinhe OA JC6 frontend file upload vulnerability, which can obtain website server permissions.

金和数字化智能办公平台（简称JC6）是一款结合了人工智能技术的数字化办公平台，为企业带来了智能化的办公体验和全面的数字化转型支持。同时符合国家信创认证标准，支持组织数字化转型，实现业务流程的数字化、智能化和协同化，提高企业竞争力。金和OA C6 GetSqlData.aspx 存在SQL注入漏洞，攻击者利用该漏洞可以执行任意sql语句获取数据库信息、执行系统命令。

金和OA是一款集协同办公管理、人力资源管理、项目管理、客户关系管理、企业目标管理、费用管理等多个业务范围于一体的管理平台。金和OA C6UploadFileDownLoadnew.aspx接口存在任意文件读取漏洞，未经身份验证攻击者可通过该漏洞读取系统重要文件（如数据库配置文件、系统配置文件）、数据库配置文件等等，导致网站处于极度不安全状态。

文件读取漏洞是指攻击者通过某种方式获取对系统文件的读取权限，从而访问敏感信息，如配置文件、源代码、用户数据等。这种漏洞通常是由于应用程序未正确实施权限控制或者未对用户输入进行充分过滤和验证导致的。

文件读取漏洞是指攻击者通过某种方式获取对系统文件的读取权限，从而访问敏感信息，如配置文件、源代码、用户数据等。这种漏洞通常是由于应用程序未正确实施权限控制或者未对用户输入进行充分过滤和验证导致的。

文件读取漏洞是指攻击者通过某种方式获取对系统文件的读取权限，从而访问敏感信息，如配置文件、源代码、用户数据等。这种漏洞通常是由于应用程序未正确实施权限控制或者未对用户输入进行充分过滤和验证导致的。

金和网络是专业信息化服务商,为城市监管部门提供了互联网+监管解决方案,为企事业单位提供组织协同OA系统开发平台,电子政务一体化平台,智慧电商平台等服务。金和OA /jc6/JHSoft.WCF/TEST/GetAttOut 存在SQL注入漏洞，攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。

金和网络是专业信息化服务商,为城市监管部门提供了互联网+监管解决方案,为企事业单位提供组织协同OA系统开发平台,电子政务一体化平台,智慧电商平台等服务。在/c6/JHSoft.Web.CustomQuery/FileDownLoad.aspx接口中filepath参数存在文件读取漏洞，攻击者可利用该漏洞读取系统配置文件。

金和网络是专业信息化服务商,为城市监管部门提供了互联网+监管解决方案,为企事业单位提供组织协同OA系统开发平台,电子政务一体化平台,智慧电商平台等服务。攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。

金和OA C6 FileDownLoad.aspx 文件读取漏洞。

金和网络是专业信息化服务商,为城市监管部门提供了互联网+监管解决方案,为企事业单位提供组织协同OA系统开发平台,电子政务一体化平台,智慧电商平台等服务。旗下金和OA系统GetAttOut接口存在SQL注入漏洞

金和OA RssModulesHttp.aspx接口SQL注入漏洞。

金和OA JC6 UploadFileBlock任意文件上传漏洞。

金和OA协同办公管理系统 incentiveplanfulfill接口存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句，成功注入并执行恶意数据库操作，可能导致敏感信息泄露、数据库被篡改或其他严重后果。

金和OA portalwb-con-template-viewcontemplate 远程命令执行

金和OA C6版本 存在任意文件上传漏洞，攻击者可利用此漏洞获取服务器权限

金和OA存在SQL注入漏洞。此漏洞是由于GetAttOut接口对于用户输入的负载缺乏校验导致的。

金和OA jc6 WebBill 存在XXE漏洞

金和OA /C6/Control/UploadFileEditorSave.aspx任意文件上传漏洞。

金和OA /jc6/ntkoUpload/ntko-upload!upload.action任意文件上传漏洞，攻击者可以利用此漏洞获取服务器权限

金和OA JC6 uploaddoc SQL注入漏洞,攻击者可利用此漏洞获取服务器敏感信息

金和OA是一套企业协同管理软件，RssModulesHttp接口sql注入漏洞，攻击者可以利用此漏洞 ，获取敏感数据。

金和网络是专业信息化服务商,为城市监管部门提供了互联网+监管解决方案,为企事业单位提供组织协同OA系统开发平台,电子政务一体化平台,智慧电商平台等服务。旗下金和OA系统存在任意文件上传漏洞，攻击者可通过该漏洞获取服务器权限。

金和OA /c6/KindEditor1/asp/upload_json.asp?dir=file 存在任意文件上传漏洞

金和OA办公系统是一款集合了办公自动化、协同办公、工作流管理等功能的企业级管理软件。它可以帮助企业实现全流程的信息化管理，提高工作效率和协作能力。金和OUploadImageDownLoadIn.aspx存在任意文件读取漏洞。

金和OA办公系统是一款集合了办公自动化、协同办公、工作流管理等功能的企业级管理软件。它可以帮助企业实现全流程的信息化管理，提高工作效率和协作能力。金和OAMailTemplates.aspx接口存在sql注入漏洞，攻击者可以通过该漏洞获取数据库敏感信息。

金和OA办公系统是一款集合了办公自动化、协同办公、工作流管理等功能的企业级管理软件。它可以帮助企业实现全流程的信息化管理，提高工作效率和协作能力。金和OAgethomeinfo接口存在sql注入漏洞，攻击者可以通过该漏洞获取数据库敏感信息。

金和oa jc6的ActionDataSet存在XXE漏洞

金和OA协同办公管理系统C6软件（简称金和OA），本着简单、适用、高效的原则，贴合企事业单位的实际需求，实行通用化、标准化、智能化、人性化的产品设计，充分体现企事业单位规范管理、提高办公效率的核心思想，为用户提供一整套标准的办公自动化解决方案，以帮助企事业单位迅速建立便捷规范的办公环境。该系统存在未授权漏洞。

金和OA协同办公管理系统C6软件（简称金和OA），本着简单、适用、高效的原则，贴合企事业单位的实际需求，实行通用化、标准化、智能化、人性化的产品设计，充分体现企事业单位规范管理、提高办公效率的核心思想，为用户提供一整套标准的办公自动化解决方案，以帮助企事业单位迅速建立便捷规范的办公环境。该系统存在任意文件读漏洞。

金和网络是专业信息化服务商,为城市监管部门提供了互联网+监管解决方案,为企事业单位提供组织协同OA系统开发平台,电子政务一体化平台,智慧电商平台等服务。旗下金和OA系统存在SQL注入漏洞，攻击者可通过该漏洞获取数据库权限。

金和C6协同管理平台是金和软件拥有自主知识产权的、基于Web的企业级协同管理平台软件系统。存在任意文件读取漏洞，利用此漏洞可获取服务器敏感信息。

金和OA /jc6/OfficeServer 接口存在任意文件上传漏洞

金和网络是专业信息化服务商,为城市监管部门提供了互联网+监管解决方案,为企事业单位提供组织协同OA系统开发平台,电子政务一体化平台,智慧电商平台等服务。攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。

该系统存在SQL注入漏洞，可造成信息数据泄露，攻击者可利用该漏洞执行SQL指令，甚至入侵服务器。

该系统存在SQL注入漏洞，可造成信息数据泄露，攻击者可利用该漏洞执行SQL指令，甚至入侵服务器。

金和网络是专业信息化服务商,为城市监管部门提供了互联网+监管解决方案,为企事业单位提供组织协同OA系统开发平台,电子政务一体化平台,智慧电商平台等服务。旗下金和OA系统存在任意文件上传漏洞，攻击者可通过该漏洞获取服务器权限。

金和网络是专业信息化服务商,为城市监管部门提供了互联网+监管解决方案,为企事业单位提供组织协同OA系统开发平台,电子政务一体化平台,智慧电商平台等服务。旗下金和OA系统存在SQL注入漏洞，攻击者可通过该漏洞获取数据库权限。

金和OA存在默认口令，攻击者通过漏洞进入后台可以获取服务器中的敏感信息

金和OA C6 download.jsp文件存在任意文件读取漏洞，攻击者通过漏洞可以获取服务器中的敏感信息

【漏洞对象】金和OA_C6 【漏洞描述】 该系统存在SQL注入漏洞，可造成信息数据泄露，攻击者可利用该漏洞执行SQL指令，甚至入侵服务器。