Smart Time Plus smarttimeplus-MySQLConnection SQL注入漏洞(CVE-2024-53544)
免责声明
本文所描述的漏洞及其复现步骤仅供网络安全研究与教育目的使用。任何人不得将本文提供的信息用于非法目的或未经授权的系统测试。作者不对任何由于使用本文信息而导致的直接或间接损害承担责任。如涉及侵权,请及时与我们联系,我们将尽快处理并删除相关内容。
0x01 产品介绍
Smart Time Plus是一款智能时间管理工具,它集成了先进的时间跟踪技术和直观的用户界面,旨在帮助个人和团队高效规划、追踪和分析工作时间。该产品能够自动记录任务耗时,提供详尽的时间分配报告,并通过智能提醒和日程优化功能,助力用户提升工作效率,实现工作与生活的平衡。无论是自由职业者还是企业团队,Smart Time Plus都能成为您时间管理的得力助手。
0x02 漏洞描述
NovaCHRON Zeitsysteme GmbH & Co. KG 的 Smart Time Plus v8.x 至 v8.6 版本被发现存在一个 SQL 注入漏洞。该漏洞通过 smarttimeplus/MySQLConnection 端点的 getCookieNames 方法触发,攻击者可以利用该漏洞执行任意 SQL 查询,可能导致敏感数据泄露或数据库被完全控制。
0x03 复现环境
title=“smart time plus” && body=“sm