当前位置: 首页 > article >正文

D-LINK SQL注入漏洞让攻击者获得管理员权限

D-Link DAR-7000 设备中发现了一个名为 SQL 注入的安全漏洞。

SQL注入是一种恶意攻击,它利用Web应用程序中的漏洞注入恶意SQL语句并获得对数据库的未经授权的访问。

此技术允许攻击者查看、修改和删除数据库中的数据,这可能对数据的机密性、完整性和可用性构成重大威胁。

SQL 注入攻击可以针对各种类型的数据库,包括 MySQL、MSSQL、Oracle 等。

恶意行为者可以利用该漏洞获取管理权限并在受影响的设备上执行未经授权的命令。

已分配官方 CVE 编号CVE-2023-42406来识别和跟踪新发现的漏洞。

目前正在分析此漏洞的严重级别,以确定其可能产生的潜在影响。

GitHub 上发布了概念验证 (PoC),以演示如何利用该漏洞。

CVE-2023-42406 – 概念证明

根据网络安全新闻分享的报告,该漏洞存在于 /sysmanage/editrole.php 端点中,该端点容易受到 SQL 注入攻击。

潜在的黑客可以通过向目标端点发送专门设计的有效负载(例如“hid_id=(select*from(select(sleep(3)))a)”)来利用漏洞。这可以导致系统被成功利用。

GitHub 已发布有关此概念验证的完整报告,其中提供了有关利用的详细信息。


http://www.kler.cn/a/108881.html

相关文章:

  • 【MATLAB代码】二维平面上的TDOA,使用加权最小二乘法,不限制锚点数量,代码可复制粘贴
  • 【leetcode练习·二叉树】用「分解问题」思维解题 II
  • ESLint 使用教程(七):ESLint还能校验JSON文件内容?
  • LLM时代下Embedding模型如何重塑检索、增强生成
  • 《重学Java设计模式》之 原型模式
  • 希尔排序(C语言)
  • 10、SpringCloud -- 优化重复下单
  • macOS M1安装wxPython报错
  • shell中的运算
  • How to install the console system of i-search rpa on Centos 7
  • kubeadm源码解读与实战(2)
  • 主定理(一般式)
  • SOLIDWORKS Simulation2024仿真10大新功能
  • Pytorch代码入门学习之分类任务(一):搭建网络框架
  • [2021]不确定成本下的处理分配
  • 39 深度学习(三):tensorflow.data模块的使用(基础,可跳)
  • [量化投资-学习笔记002]Python+TDengine从零开始搭建量化分析平台-MA均线的多种实现方式
  • 行为型模式-行为型模式
  • Python练习
  • vim使用
  • 十八、字符串(3)
  • 公众号留言功能有必要开吗?如何开通留言?
  • Java程序设计2023-第二次上机练习
  • Web入门笔记
  • wkhtmltoimage/wkhtmltopdf 使用实践
  • windows下基于vscode的ssh服务远程连接ubuntu服务器