zzcms接口index.php id参数存在SQL注入漏洞
zzcms接口index.php id参数存在SQL注入漏洞
漏洞描述
ZZCMS 2023中发现了一个严重漏洞。该漏洞影响了文件/index.php中的某些未知功能,操纵参数id会导致SQL注入,攻击可能是远程发起的,该漏洞已被公开披露并可被利用。攻击者可通过sql盲注等手段,获取数据库信息。
威胁等级: 高危
漏洞分类: SQL注入
涉及厂商及产品:zzcms
应用指纹及检出思路
存在二次开发的可能
匹配源代码接口 存在关键字zcms_skin 即可
fofa: body="/zx/search.php" && body="/inc/showuserlogin.php" || body="ZCMS_ShowNewMessage" || body="zcms_skin" || body="/inc/showuserlogin.php" || body="/zx/search.php" || body="/inc/showuserlogin.php" || title="zzcms"
漏洞复现
GET /z