当前位置: 首页 > article >正文

CVE-2024-46103

article 2024/9/23 21:01:03

前言

CVE-2024-46103 SEMCMS的sql漏洞。

漏洞简介

SEMCMS v4.8中,SEMCMS_Images.phpsearch参数,以及SEMCMS_Products.phpsearch参数,存在sql注入漏洞。

(这个之前就有两个sql的cve,这次属于是捡漏了😀)

影响版本
SEMCMS v4.8 (其它没测。。)

漏洞复现 && 分析

先看SEMCMS_Images.php中的,
SEMCMS_Images.php Line 181:
在这里插入图片描述
search参数没有过滤就直接拼接到了sql查询语句中,造成了sql注入漏洞。

对应场景的在这个地方:
在这里插入图片描述

burpsuite抓请求包,sqlmap一把梭了。()
在这里插入图片描述
在这里插入图片描述

再看SEMCMS_Products.php中的,都大差不差:
SEMCMS_Products.php line 133
在这里插入图片描述
一大堆没过滤的参数。
对应的业务场景在这里:
在这里插入图片描述

burpsuite抓包,
在这里插入图片描述
这里用sqlmap测试:
在这里插入图片描述

参考

https://www.cve.org/CVERecord?id=CVE-2024-46103

https://github.com/N0zoM1z0/Vuln-Search/blob/main/SEMCMS%20V4.8%20sql%20injection%201.md

https://github.com/N0zoM1z0/Vuln-Search/blob/main/SEMCMS%20V4.8%20sql%20injection%202.md


http://www.kler.cn/news/316568.html

相关文章:

  • 无源蜂鸣器简介
  • 【百日算法计划】:每日一题,见证成长(017)
  • Python 类class的用法详解
  • 渗透测试综合靶场 DC-2 通关详解
  • comfyui中报错 Cmd(‘git‘) failed due to: exit code(128) 如何解决
  • 【医疗大数据】医疗保健领域的大数据管理:采用挑战和影响
  • 【2025】中医药健康管理小程序(安卓原生开发+用户+管理员)
  • 计算机毕业设计推荐-基于python的白酒销售数据可视化分析
  • 828华为云征文 | 构建高效搜索解决方案,Elasticsearch Kibana的完美结合
  • 计算结构力学,平行桁架杆件轴力计算源程序
  • Spring IoC 注解 总结
  • vue是如何优化
  • 【C++算法】分治——快排
  • 力扣(leetcode)每日一题 2374 边积分最高的节点
  • 神经生物学精解【2】
  • LeetCode[中等]
  • 迷雾大陆免费辅助:强流派推荐攻略!VMOS云手机自动辅助挂机教程!
  • [JavaEE] TCP协议
  • hql杂谈一
  • 黑马智数Day3
  • C#设计模式之备忘录模式
  • CMake 构建Qt程序弹出黑色控制台
  • vue3+ant design vue 中弹窗自定义按钮设置及以冒号为基准布局
  • IM项目-----语音识别子服务
  • Java笔试面试题AI答之设计模式(4)
  • 进击J7:对于ResNeXt-50算法的思考
  • [深度学习]Pytorch框架
  • 猿大师办公助手在线编辑Office为什么要在客户端电脑安装插件微软Office或金山WPS?
  • 政务安全体系构建中的挑战
  • 使用思科搭建企业网规划训练,让网络全部互通,使用规则提高工作效率。