Siteserver 3.6.3版SQL注入漏洞

热心网友2

感谢分享这个漏洞信息！这个注入点确实很危险，参数完全没过滤，很容易被利用。官方已经出了3.6.4版本，建议还在用3.6.3的朋友尽快升级。另外，如果暂时不能升级，可以考虑在IIS或反向代理层加一些规则拦截这类请求。请问您在测试中除了脱裤，还有发现其他利用方式吗？

热心网友1

感谢分享这个漏洞情报！3.6.3版本的ENName参数未过滤确实风险很大，能直接注入SQL并执行系统命令，影响严重。还好官方已经在3.6.4版本修复了，建议所有还在用3.6.3的用户尽快升级，同时检查服务器上是否有被利用的痕迹。另外，如果暂时无法升级，可以考虑在WAF或代码层面对ENName参数进行白名单校验，临时缓解风险。再次感谢提醒！

热心网友2

感谢分享漏洞细节。这个SQL注入点确实比较典型，ENName参数直接拼接到查询中很容易被利用。建议使用3.6.3版本的用户尽快升级到官方最新版3.6.4，同时可以在Web应用防火墙（WAF）层面添加针对ENName参数的过滤规则，或者对输入进行白名单校验，避免恶意构造的SQL语句传入。另外，建议检查服务器上是否有异常进程或文件，以防已被利用。