漏洞情报中心

详细信息

漏洞信息

影响产品

解决方案

漏洞描述

通达OA（Office Anywhere网络智能办公系统）是由北京通达信科科技有限公司自主研发的协同办公自动化软件，是与中国企业管理实践相结合形成的综合管理办公平台。通达OA为各行业不同规模的众多用户提供信息化管理能力，包括流程审批、行政办公、日常事务、数据统计分析、即时通讯、移动办公等，帮助广大用户降低沟通和管理成本，提升生产和决策效率。通达 qyapp.vote.submit.php存在SQL注入漏洞。攻击者可以通过控制vote_id参数，进行sql注入，获取数据库敏感信息。

漏洞危害

攻击者可以在易受攻击的系统上执行任意 SQL 语句。根据正在使用的后端数据库， SQL 注入漏洞会导致攻击者访问不同级别的数据/系统。在某些情况下，可以读入或写出文件，或者在底层操作系统上执行 shell 命令。

参考链接

pocscan/通达 /oa通达OA sql注入漏洞.py：https://github.com/xinyisleep/pocscan/blob/main/%E9%80%9A%E8%BE%BE/oa%E9%80%9A%E8%BE%BEOA%20sql%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E.py

TVPR 关键指标

7.6

相关情报信息

通达OA dologin 远程代码执行漏洞
2025-04-30 11:07:48
通达OA /mysql/index.php 未授权访问漏洞
2025-02-06 10:33:54
通达OA /query/get_columns.php SQL注入漏洞
2025-01-23 11:19:44
通达OA /list/get_columns.php SQL注入漏洞
2025-01-23 11:10:01
通达OA /keywords/index SQL注入漏洞
2025-01-22 15:28:56
通达OA /retrieve_pwd.php SQL注入漏洞
2025-01-22 15:10:31
通达OA /auth.php SQL注入漏洞
2025-01-22 14:46:47
通达OA /go.php SQL注入漏洞
2025-01-22 14:36:52
通达OA ugo.php SQL注入漏洞
2025-01-22 11:43:55
通达OA expired.php版本信息泄露
2025-01-22 11:24:13
通达OA 13版本空密码登录漏洞
2025-01-22 10:57:17
通达OA swfupload_new 前台SQL注入漏洞
2024-12-18 13:59:40
通达OA go.php存在URL跳转漏洞
2024-12-05 11:25:29
通达OA /query.php WHERE_STR 存在SQL注入漏洞
2024-11-26 14:12:01
通达OA action_upload.php 任意文件上传漏洞
2024-11-18 16:33:30
通达OA 任意用户登录漏洞
2024-11-18 16:07:35
通达OA login_code_check 任意用户登录漏洞
2024-11-18 15:44:36
Tongda OA Annual 失效的身份授权 (CVE-2024-10598)
2024-11-01 06:15:02
通达 OA logincheck_code 管理员登录绕过漏洞
2024-10-10 11:35:08
通达OAV11.10接口login.php存在SQL注入漏洞
2024-09-06 15:51:59
通达OA moare接口反序列化漏洞
2024-09-02 11:12:55
通达OA result.php接口存在SQL注入漏洞
2024-08-29 14:43:02
通达OA delete.php sql注入漏洞(CVE-2023-7180)
2024-01-03 10:01:11
通达OA handle.php SQL注入漏洞
2023-12-22 15:34:19
通达OA privateUpload 任意文件上传漏洞
2023-12-19 16:20:16

时间轴

2024-09-11 16:28:09
斗象应急响应团队对外发布安全通告

通达OA qyapp.vote.submit.php接口存在SQL注入漏洞