关键漏洞信息 受影响产品 名称: XCKK Low-Code Development Platform 版本: V9.6 漏洞文件 文件名: OaNoticeController.java 漏洞类型 类型: SQL Injection 根因 原因: 在处理 参数时,未对用户输入进行适当的清理或验证,直接将其用于SQL查询中。 影响 风险: 攻击者可以利用此漏洞实现未经授权的数据库访问、敏感数据泄露、数据篡改、系统控制中断,甚至服务中断,严重威胁系统安全和业务连续性。 描述 详情: 在XCKK V9.6的OaNoticeController.java文件中检测到一个严重的SQL注入漏洞。该漏洞是由于对 参数的用户输入验证不足造成的。这使得攻击者能够注入恶意SQL代码,进而操纵SQL查询和执行未经授权的操作。 登录要求 条件: 该漏洞只能被已认证的用户利用,因为系统在允许访问OaNoticeController.java页面之前会检查活动会话。 漏洞细节和POC 位置: 参数 Payload: 建议修复 1. 使用预编译语句和参数绑定:预编译语句可以有效防止SQL注入,因为它们将SQL代码与用户输入分离。 2. 执行输入验证和过滤:严格验证和过滤用户输入,确保其符合预期格式,阻止恶意输入。 3. 最小化数据库用户权限:确保连接数据库的账户只有最低必要的权限,避免使用具有高权限的账户(如root或admin)进行日常操作。