熵基科技股份有限公司百傲瑞达5000存在SQL注入漏洞问题的通告-熵基科技

熵基科技股份有限公司百傲瑞达5000存在SQL注入漏洞问题的通告

近日，发现熵基科技百傲瑞达平台产品漏洞问题，详细情况如下： 

一、漏洞说明

百傲瑞达版本未对前端提交内容做特殊字符过滤，且查询方式为组装后编辑的模式，导致部分查询接口存在SQL注入风险。

二、影响范围

攻击者可通过前端拦截，并增加相关SQL查询条件来获取非当前权限的数据内容，造成系统用户信息的安全问题。

三、漏洞定级

按照CVSS V3定义，此漏洞等级为“低危”。

四、漏洞规避方案

系统帐户密码及时定期更换，提高系统安全性，防止帐户被非法利用；

五、漏洞解决方案

1.【方案一】升级到新版本（新版本增加前端内容特殊字符过滤，及后台采用预编译模式，解决SQL注入问题）。

六、后续改善计划

升级到新版本