XMall商城listSearch存在SQL注入漏洞(DVB-2025-8924)
免责声明
本文所描述的漏洞及其复现步骤仅供网络安全研究与教育目的使用。任何人不得将本文提供的信息用于非法目的或未经授权的系统测试。作者不对任何由于使用本文信息而导致的直接或间接损害承担责任。如涉及侵权,请及时与我们联系,我们将尽快处理并删除相关内容。
0x01 产品介绍
XMall 开源电商商城是开发者Exrick的一款基于SOA架构的分布式电商购物商城。XMall 商城存在SQL注入漏洞,未经身份验证的攻击者可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
0x02 复现环境
app=“XMall-后台管理系统”
0x03 漏洞复现
Poc如下
GET /ite