【漏洞预警】蓝凌EIS智慧协同平台SQL注入

原创 1ang 小羊安全屋 2025-01-08 06:55

导言

文章仅用作网络安全人员对自己网站、服务器等进行自查检测，不可用于其他用途，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。切勿用于网络攻击！！！

PART 

漏洞描述

蓝凌EIS智慧协同平台f message_receiver.aspx接口存在 SQL注入漏洞，未经身份验证的恶意攻击者利用SQL注入漏洞获取数据库中的信息(例如管理员后台密码、站点用户个人信息)之外，攻击者甚至可以在高权限下向服务器写入命令，进一步获取服务器系统权限。

漏洞复现

漏洞详情：

1、打开自己的服务

2、进行漏洞验证

修复建议

三

1、关闭互联网访问或采用白名单方式进行访问限制；

2、升级系统至安全版本。

个人星球，欢迎加入

——The  End——