【漏洞复现】飞企互联-FE企业运营管理平台 treeXml.jsp接口处存在SQL注入漏洞

【漏洞复现】智邦国际 ERP系统  GetPersonalSealData接口处存在SQL注入漏洞免责声明：文章来源互联网收集整理，请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责，所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

Ⅰ、漏洞描述

飞企互联-FE企业运营管理平台是一个基于云计算、智能化、大数据、物联网、移动互联网等技术支撑的云工作台。这个平台可以连接人、链接端、联通内外，支持企业B2B、C2B与O2O等核心需求，为不同行业客户的互联网+转型提供支持。其特色在于提供云端工作环境，整合了人工智能、大数据分析和物联网设备管理，为不同行业客户的互联网+转型提供全面支持。通过智能化的决策支持和数据驱动的业务优化，企业可以更灵活、高效地运营业务，实现数字化转型的战略目标。

飞企互联-FE企业运营管理平台 treeXml.jsp接口处存在SQL注入漏洞，未授权的攻击者可利用此漏洞获取数据库权限，深入利用可获取服务器权限。

Ⅱ、FOFA语句

app="FE-协作平台"

Ⅲ、漏洞复现

1、发送数据包执行SQL语句

Ⅳ、Nuclei-POC

Ⅴ、修复建议

1、仅允许访问预先批准的文件路径，并拒绝所有其他路径；

2、仔细验证用户请求的文件路径，确保它指向允许访问的文件；

3、及时应用安全更新和补丁，以修复任何已发现的漏洞。

完整POC及批量检测脚本请前往圈子获取，圈子每天不定时更新漏洞3-5篇，加入圈子即可进入内部群，近期漏洞更新列表如下，此表所更漏洞信息均可在内部群获取

联系圈主

月更列表和周更列表请前往交流群"ONE PIECE"获取链接，联系圈主进群，备注来意

往期全部漏洞合集内容可点击下方名片进入公众号主页，选择漏洞合集查看（点击右上角订阅可第一时间获取漏洞更新信息）