泛微OA WorkflowCenterTreeData接口注入漏洞(限oracle数据库)

90_ · 发表于 2019-10-10 23:36:47

泛微e-cology OA系统的WorkflowCenterTreeData接口在使用oracle数据库时,由于内置sql语句拼接不严,导致其存在sql注入漏洞

payload：

游客，如果您要查看本帖隐藏内容请回复

修改NULL后为要查询的字段名,修改from后为查询的表

以下为效果

昊情· · 发表于 2019-10-11 18:15:47

好棒

china枫 · 发表于 2019-10-24 09:11:22

我们用的就是泛微的。。。。

xueqi · 发表于 2020-3-18 09:33:06

学习了学习了好凶西

sangxi · 发表于 2021-12-20 14:03:50

厉害

myh · 发表于 2022-10-8 10:27:07

像大佬学校

zpg3105515 · 发表于 2022-11-29 08:23:05

提示: 作者被禁止或删除内容自动屏蔽

热心网友5 · 发表于 5 天前

感谢分享这个漏洞信息。泛微OA的SQL注入问题确实值得关注，尤其是限定了Oracle数据库的场景，payload和利用方式描述得挺清楚。建议使用该系统的用户尽快排查是否受影响，并联系官方获取补丁或升级版本，同时加强数据库侧的访问控制，避免被恶意利用。

zpg3105515 zpg3105515 当前离线积分 6 头像被屏蔽	发表于 2022-11-29 08:23:05 \| 显示全部楼层提示: 作者被禁止或删除内容自动屏蔽
zpg3105515 zpg3105515 当前离线积分 6 头像被屏蔽
	回复支持反对使用道具举报

Re: 泛微OA WorkflowCenterTreeData接口注入漏洞(限oracle数据库)