漏洞预警 | Ruvar OA SQL注入漏洞

浅安 浅安安全 2024-05-18 08:00

0x00 漏洞编号
– # 暂无

0x01 危险等级
– 高危

0x02 漏洞概述

璐华信息技术有限公司成立于2002年，是广东省双软认证企业、高新技术企业，国内领先的全行业人力资源管理系统、OA办公系统解决方案提供商。公司核心研发团队来自985、211高校，人均软件开发经验超过10年。团队深耕于Java平台，发布了企业eHR人力资源管理系统、医院人事管理系统、高校人事管理系统、干部人事信息管理系统、干部档案数字化管理系统、信创OA系统等多个核心产品。

0x03 漏洞详情

漏洞类型：
SQL注入

影响：
获取敏感信息

---

简述：
RUVAR OA的file_memo.aspx接口存在SQL注入，允许未经授权的攻击者获取数据库敏感信息，极端情况下可能写入webshell并接管服务器。

0x04 影响版本
– RUVAR OA

0x05POC

https://mp.weixin.qq.com/s/obdzRBbp38Z-oOUskg_cuA

仅供安全研究与学习之用，若将工具做其他用途，由使用者承担全部法律及连带责任，作者及发布者
不承担任何法律及连带责任。

0x06修复建议

目前官方已发布漏洞修复版本，建议用户升级到安全版本：

http://ruvar.net/