J1-17金和-OA-SQL 漏洞描述: 金和 OA jc6 /jc6/servlet/clobfield接口处存在SQL注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限
J1-16金和-OA-文件上传 漏洞描述: 金和OA jc6系统/jc6/ntkoUpload/接口处存在任意文件上传漏洞,未经身份认证的攻击者可利用此漏洞上传恶意后门文件,最终可导致服务器失陷。 影响版本: 金和 OA 网络测绘: fofa语法: FOFA:app=“金和网络-金和OA” 漏洞复现
J1-15金和-OA-文件上传 漏洞描述: 金和OA jc6系统uploadFileForJinht接口处存在任意文件上传漏洞,未经身份认证的攻击者可利用此漏洞上传恶意后门文件,最终可导致服务器失陷。 影响版本: 金和 OA 网络测绘: fofa语法: FOFA:app=“金和网络-金和OA” 漏洞
J1-14金和-OA-文件上传 漏洞描述: 金和OA C6系统UploadFileEditorSave.aspx接口处存在任意文件上传漏洞,未经身份认证的攻击者可利用此漏洞上传恶意后门文件,最终可导致服务器失陷。 影响版本: 金和 OA 网络测绘: fofa语法: FOFA:app=“金和网络-金和
J1-13金和-OA-SQL 漏洞描述: 金和OA C6 MailTemplates.aspx接口处存在SQL注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。 影响版本
J1-12金和-OA-SQL 漏洞描述: 金和OA C6 HomeService.asmx接口处存在SQL注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。 影响版本:
J1-11金和-OA-SQL 漏洞描述: 金和OA C6 CarCardInfo.aspx接口处存在SQL注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。 影响版本:
J1-10金和-OA-SQL 漏洞描述: 金和OA jc6 GetAttOut 接口处存在SQL注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。 影响版本: 金和 OA
J1-9金和-OA-文件上传 漏洞描述: 金和OA jc6系统/jc6/servlet/Upload接口处存在任意文件上传漏洞,未经身份认证的攻击者可利用此漏洞上传恶意后门文件,最终可导致服务器失陷。 影响版本: 金和 OA 网络测绘: fofa语法: FOFA:body=“/jc6/platfor
J1-8金和-OA-文件上传 漏洞描述: 金和OA jc6系统UploadFileBlock接口处存在任意文件上传漏洞,未经身份认证的攻击者可利用此漏洞上传恶意后门文件,最终可导致服务器失陷。 影响版本: 金和 OA 网络测绘: fofa语法: FOFA:body=“/jc6/platform/sy
J1-7金和-OA-SQL 漏洞描述: 金和OA C6 RssModulesHttp.aspx接口处存在SQL注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。 影响版本
J1-6金和-OA-SQL 漏洞描述: 金和OA协同办公管理系统C6软件共有20多个应用模块,160多个应用子模块,涉及的企业管理业务包括协同办公管理、人力资源管理、项目管理、客户关系管理、企业目标管理、费用管理等多个业务范围,从功能型的协同办公平台上升到管理型协同管理平台,并不断的更新完善,全面支
J1-5金和-OA-SQL 漏洞描述: 金和OA协同办公管理系统C6软件共有20多个应用模块,160多个应用子模块,涉及的企业管理业务包括协同办公管理、人力资源管理、项目管理、客户关系管理、企业目标管理、费用管理等多个业务范围,从功能型的协同办公平台上升到管理型协同管理平台,并不断的更新完善,全面支
J1-4金和-OA-任意文件读取 漏洞描述: 金和OA协同办公管理系统C6软件共有20多个应用模块,160多个应用子模块,涉及的企业管理业务包括协同办公管理、人力资源管理、项目管理、客户关系管理、企业目标管理、费用管理等多个业务范围,从功能型的协同办公平台上升到管理型协同管理平台,并不断的更新完善,
J1-2金和-OA-RCE 漏洞描述: 金和OA jc6 portalwb-con-template!viewConTemplate.action 接口存在FreeMarker模板注入漏洞,未经身份验证的攻击者可以利用此漏洞远程代码执行、写入后门文件,导致服务器存在被控的风险。 影响版本: 至202
J1-3金和-OA-文件上传 漏洞描述: 金和OA jc6系统ntkoUpload接口处存在任意文件上传漏洞,未经身份认证的攻击者可利用此漏洞上传恶意后门文件,最终可导致服务器失陷。 网站图片: 网络测绘: fofa语法: app=“金和网络-金和OA” 漏洞复现: payload: POST /j
J1-1金和-OA-SQL 漏洞描述: 飞企互联-FE企业运营管理平台 /servlet/uploadAttachmentServlet接口处存在文件上传漏洞,未经身份验证的攻击者可以利用此漏洞上传恶意后门文件,获取服务器权限,进而控制整个web服务器。 影响版本: 至2024年3月30日 网站图片
I4-4IDocView-在线文档解析应用-SQL 漏洞描述: iDocView是一个在线文档预览系统 /view/qJvqhFt.json 接口处存在任意文件读取漏洞,未授权的攻击者可以利用此接口并携带默认token读取服务器敏感文件信息,使系统处于极度不安全的状态。 网站图片: fofa语法:
I4-4IDocView-在线文档解析应用-任意文件读取 漏洞描述: iDocView是一个在线文档预览系统 /view/qJvqhFt.json 接口处存在任意文件读取漏洞,未授权的攻击者可以利用此接口并携带默认token读取服务器敏感文件信息,使系统处于极度不安全的状态。 网站图片: fofa语
I4-3IDocView-在线文档解析应用-RCE 漏洞描述: 本次漏洞出现在在线文档解析应用中的远程页面缓存功能。具体问题在于该应用未能对用户输入的URL进行充分的安全验证,从而导致存在安全隐患。攻击者可通过构造特殊的URL,引诱应用下载恶意文件。 利用特征 攻击者利用该漏洞的关键在于使用具有远程
