万户协同办公平台ezOffice selectCommentField 存在 SQL 注入漏洞(DVB-2025-8941)
免责声明
本文所描述的漏洞及其复现步骤仅供网络安全研究与教育目的使用。任何人不得将本文提供的信息用于非法目的或未经授权的系统测试。作者不对任何由于使用本文信息而导致的直接或间接损害承担责任。如涉及侵权,请及时与我们联系,我们将尽快处理并删除相关内容。
0x01 产品介绍
万户协同办公平台是一款面向企业和组织的高效办公协作工具,旨在提升团队沟通、任务管理和文档协作的效率。该平台集成了即时通讯、项目管理、文件共享、日程安排等功能,支持多端同步和实时协作,帮助团队成员打破时间和空间的限制,实现无缝协同办公。万户协同办公平台注重用户体验和数据安全,提供灵活的权限管理和定制化配置,适用于各类企业规模与行业需求,助力企业实现数字化转型和智能化办公。
0x02 漏洞描述
万户ezEIP是一种企业资源规划软件,旨在帮助企业管理其各个方面的业务流程。它提供了一套集成的解决方案,涵盖了财务、供应链管理、销售和市场营销、人力资源等各个领域。万户 ezOFFICE selectCommentField 接口处存在SQL注入漏洞,未经身份验证的远程攻击者可利用此漏洞获取数据库敏感信息,深入利用可获取服务器权限。
0x03 复现环境
app="万户ezOFF