漏洞描述:
JieLink+智能终端操作平台 是由 深圳市捷顺科技实业股份有限公司(Jieshun) 开发的一款面向物联网(IoT)和智能终端管理的软件平台。其中 GetFkjEventInfoList接口存在SQL注入漏洞,攻击者可通过构造恶意请求参数注入非法SQL指令,从而绕过认证获取数据库敏感信息或执行未授权操作。该漏洞源于未对用户输入的参数进行充分的过滤和预编译处理,建议采取修复措施包括:严格校验输入参数、使用参数化查询或ORM框架、升级至官方最新安全版本,并部署WAF等防护措施进行应急防护。