一、背景介绍
近日,市委网信办技术支撑单位监测到畅捷通T+keyEdit.aspx SQL注⼊漏洞。鉴于该漏洞影响范围较大,建议各单位尽快做好自查及防护。
1.1漏洞描述
畅捷通T+是⼀款企业管理软件,主要⾯向中⼩企业。它提供了包括财务、采购、销售、库存、⽣产制造、⼈⼒资源等在内的全⾯企业管理解决⽅案。通过畅捷通T+,企业可以实现对业务流程的数字化管理,提⾼⼯作效率,降低成本,增强企业竞争⼒。
畅捷通T+ /tplus/UFAQD/keyEdit.aspx接⼝处未对⽤⼾的输⼊进⾏过滤和校验,未经⾝份验证的攻击者可以利⽤SQL注⼊漏洞获取数据库中的信息。
1.2漏洞等级
高危
二、修复建议
2.1受影响版本
畅捷通T+
2.2修复建议:
请使⽤此产品的⽤⼾尽快打补丁或更新到最新版本:https://www.chanjet.com