漏洞概述

FE企业运营管理平台V6.6可构造操作数据库的语句并且被解析执行，存在sql时间盲注。(漏洞编号：FQPSIRT-2023-00004 )

漏洞类型

sql注入漏洞

CVE编号

CVE-FE66-2023-002

漏洞级别

高

影响版本

漏洞详细描述

通过url的拼装，将含有操作数据库的语句拼写在了url中，传到后端方法中去操作了数据库。

修复方案

通过预编译的方式，对sql语句进行改造。不对sql进行参数的拼装来进行查询。

补丁获取途径

该漏洞目前已修复，安全补丁获取方式如下：

1、联系飞企技术服务工程师：4001020756

注意事项

1、为确保数据安全，建议重要业务数据进行异地备份。

2、修复漏洞前请将资料备份，并进行充分测试。