Goby 漏洞发布｜泛微 E-office flow_xml.php 文件 SORT_ID 参数 SQL 注入漏洞

漏洞名称：泛微 E-office flow_xml.php 文件 SORT_ID 参数 SQL 注入漏洞

English Name： Weaver E-office flow_xml.php file SORT_ID parameter SQL injection vulnerability

CVSS core:7.8

影响资产数： 21632

漏洞描述：

泛微 E-Office 是面向中小型组织推出的 OA 产品，由泛微网络科技股份有限公司开发。泛微 E-office 在 flow_xml.php 存在SQL注入漏洞，攻击者可以利用 SQL 注入漏洞获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息）。

漏洞影响：

攻击者可以利用 SQL 注入漏洞获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息）。

FOFA查询语句（点击直接查看结果）：

body=“href=”/eoffice" || body=“/eoffice10/client” || body=“eoffice_loading_tip” || body=“eoffice_init” || header=“general/login/index.php” || banner=“general/login/index.php” || body=“/general/login/view//images/updateLoad.gif” || (body=“szFeatures” && body=“eoffice”) || header=“eOffice” || banner=“eOffice”

此漏洞已可在Goby漏扫/红队版进行扫描验证

下载Goby：Goby社区版下载

查看Goby更多漏洞：Goby历史漏洞合集

关注Goby公众号获取最新动态：Gobysec