金盘 漏洞列表

金盘图书馆微信管理平台 doUpload.jsp接口存在任意文件上传漏洞，攻击者通过漏洞可以获取权限。 Fofa: app="金盘软件-金盘移动图书馆系统"

FOFA: icon_hash="116323821" && title=="微信管理后台"

敏感信息泄露漏洞是指由于系统或应用程序的安全措施不足，导致敏感信息（如用户数据、系统配置、内部通信等）被未授权的第三方获取。这种漏洞可能由于不当的配置、缺乏访问控制、不安全的数据处理和传输等原因造成。攻击者可能利用泄露的信息进行进一步的攻击，如身份盗窃、欺诈、数据篡改等。

北京金盘鹏图软件技术有限公司是专门从事图书馆信息自动化产品的研制开发、推广应用和系统维护的高新技术企业。公司主要业务是面向全国各高校图书馆、政府机关、军队院校、科研机关、大中型企业情报和信息服务机构等部门提供商品化的信息系统、信息系统设计、信息系统产品开发、软件系统集成和服务。金盘微信管理平台download.jsp任意文件读取漏洞，通过该漏洞读取数据库配置文件等

文件上传漏洞发生在应用程序允许用户上传文件的功能中，如果上传功能未能正确地验证和限制上传文件的类型和内容，攻击者可能利用此漏洞上传恶意文件，如包含可执行代码的脚本文件，从而在服务器上执行任意命令，控制或破坏系统。

金盘移动图书管理系统 /pages/admin/tools/uploadFile/doUpload.jsp 存在文件上传漏洞

金盘移动图书馆系统 download.jsp 文件存在任意文件下载漏洞，可导致系统敏感信息泄露

金盘微信管理平台是北京金盘鹏图软件技术有限公司研发的一款微信公众号管理平台。金盘微信管理平台 getsysteminfo 存在信息泄漏，攻击者可通过该漏洞窃取系统管理权限口令并控制系统。

金盘移动图书馆管理系统是集掌上门户，掌上APP，微信平台为一体的移动服务解决方案，在移动智能时代拉近读者与图书馆之间的距离。其存在信息泄露漏洞，泄露管理员账号密码等敏感信息

金盘非书资料管理系统 /HotBroow.aspx 路径存在SQL注入漏洞

金盘非书资料管理系统 /HotCollection.aspx 路径存在SQL注入漏洞

金盘非书资料管理系统 /HotGrade.aspx 路径存在SQL注入漏洞

金盘非书资料管理系统 /HotBrowse.aspx 路径存在SQL注入漏洞

此编号已经被分配用于标识某安全漏洞，出于安全考虑，漏洞详情暂不公开。

【漏洞对象】金盘非书资料管理系统 【漏洞描述】 该系统存在SQL注入漏洞，可造成信息数据泄露，攻击者可利用该漏洞执行SQL指令，甚至入侵服务器。

【漏洞对象】金盘非书资料管理系统 【漏洞描述】 该产品下HotGrade.aspx文件Call参数存在sql注入漏洞，可造成数据泄露，甚至服务器被入侵。

【漏洞对象】金盘非书资料管理系统 【漏洞描述】该产品下HotCollection.aspx文件Call参数存在sql注入漏洞，可造成数据泄露，甚至服务器被入侵。

【漏洞对象】金盘非书资料管理系统 【漏洞描述】 该产品下HotBroow.aspx文件Call参数存在sql注入漏洞，可造成数据泄露，甚至服务器被入侵。

【漏洞对象】金盘非书资料管理系统 【漏洞描述】该产品下/AdvicesRequest.aspx文件DBKey参数存在sql注入漏洞，可以造成数据泄露，甚至服务器被入侵。