ruvar OA系统 bulletin_template_show.aspx 参数id SQL注入漏洞

2016-03-01T00:00:00
ID SSV:90842
Type seebug
Reporter hhxx
Modified 2016-03-01T00:00:00

Description

0x01 框架概述

璐华RuvarOA机关事业版办公自动化系统是广州市璐华计算机科技有限公司专门针对我国党政机关、大型企事业单位开发,采用组件技术和Web技术相结合,基于Windows平台,构建在大型关系数据库管理系统基础上的,以行政办公为核心,以集成融通业务办公为目标,将网络与无线通讯等信息技术完美结合在一起设计而成的新型办公自动化应用系统。

该系统根据中国国情和行政管理的惯例,旨在从根本上提高办公及行政管理的效率和水平,并借助与计算机与信息科技的成果为领导和决策人员提供全面及时的决策支持服务,是颇具实用性、先进性、经济性的政府机关协同办公系统。

璐华RuvarOA机关事业版办公自动化系统在多个厅局级、处级、科级等级别的政府机关、事业单位得到了成功的应用,并以其完善的设计、简单的操作、周全的服务赢得众多用户的热情赞誉。

官方主页:http://www.ruvar.com/

影响厂商:璐华科技

漏洞地点:/bulletin/bulletin_template_show.aspx?id

谷歌关键词:广州市璐华计算机有限公司 (C) 版权所有 版本号:6.2.0822

0x02 利用方式

/bulletin/bulletin_template_show.aspx?id=@@version

案例:

0x03 修复方案

1 过滤漏洞文件参数

2 使用加速乐等防护产品