本文共 391 字，大约阅读时间需要 1 分钟。

0x01 产品简介

LVS精益价值管理系统是一款专注于企业精益化管理和价值流优化的解决方案。该系统通过集成先进的数据分析工具、可视化的价值流映射技术和灵活的流程改善机制，帮助企业实现高效、低耗、高质量的生产和服务。

0x02 漏洞概述

LVS精益价值管理系统中，/ajax/LVS.Web.AgencytaskList以及LVS.Web.ashx接口存在SQL注入漏洞。未经身份验证的远程攻击者可通过利用SQL注入漏洞配合数据库xp_cmdshell，执行任意命令从而控制服务器。初步分析显示，该漏洞利用难度较低，建议尽快修复。

0x03 复现环境

FOFA测试环境中，路径为"/ajax/LVS.Core.Common.STSResult,LVS.Core.Common.ashx"。

0x04 漏洞复现

PoC（Proof of Concept）已完成，具体实现方式已验证有效。

转载地址：http://kxufk.baihongyu.com/