用友NC 漏洞分析--cartabletimeline存在SQL注入
當(dāng)前位置:點(diǎn)晴教程→知識(shí)管理交流
→『 技術(shù)文檔交流 』
引 言 用友NC是一款大型erp企業(yè)管理系統(tǒng)與電子商務(wù)平臺(tái);用友網(wǎng)絡(luò)科技股份有限公司用友NC存在SQL注入漏洞,攻擊者可利用該漏洞獲取數(shù)據(jù)庫(kù)敏感信息。 漏洞描述 用友NC是一款大型erp企業(yè)管理系統(tǒng)與電子商務(wù)平臺(tái)。用友網(wǎng)絡(luò)科技股份有限公司用友NC存在SQL注入漏洞,攻擊者可利用該漏洞獲取數(shù)據(jù)庫(kù)敏感信息。 影響版本如下 VsmAction類中此處存在@Servlet注解,也就是說(shuō)當(dāng)訪問路徑為/cartabletimeline會(huì)直接定位到這里。 跟進(jìn)getVehicleApplyInfo方法接口類ICarTalbeService,定義了getVehicleApplyInfo方法 找到接口類ICarTalbeService的實(shí)現(xiàn)類CarTableServiceImpl 跟進(jìn)getgetUserVehicleApplyInfo方法 跟進(jìn)queryVOs方法 本文已2024-11-27 發(fā)布qax攻防社區(qū):https://forum.butian.net/article/627 所以本文只做簡(jiǎn)寫,可查看原文 閱讀原文:原文鏈接 該文章在 2025/4/9 12:03:36 編輯過(guò) |
關(guān)鍵字查詢
相關(guān)文章
正在查詢... 
|
400 186 1886
