【漏洞预警】WUZHI CMS SQL注入漏洞(CVE-2022-27431)

admin 2022年5月17日04:26:12安全漏洞评论40 views565字阅读1分53秒阅读模式

 01


漏洞描述




北京五指互联科技有限公司具有一支开拓进取,尊重科学,懂技术会管理,善于开拓市场,诚实守信,以客户要求为己任,充分发扬团队精神的员工队伍。自成立以来北京五指互联科技有限公司不断钻研,力求稳妥,对多种方式的利弊进行了大量指标的采集、整理、统计、分析和综合对比,力服务化。Wuzhi WUZHI CMS是五指(Wuzhi)公司的一套基于PHP和MySQL的开源内容管理系统(CMS)。

Wuzhicms v4.1.0 通过 /coreframe/app/member/admin/group.php 中的groupid 参数发现包含 SQL 注入漏洞。

 02

漏洞危害


WUZHI CMS 4.1.0版本存在SQL注入漏洞,该漏洞源于/coreframe/app/member/admin/group.php的groupid参数缺少对外部输入SQL语句的验证,攻击者可利用该漏洞执行非法SQL命令窃取数据库敏感数


 03

影响范围






北京五指互联科技有限公司 WUZHI CMS 4.1.0

04

漏洞等级

   

高危

 06

修复方案


厂商尚未提供漏洞修复方案,请关注厂商主页更新:

https://www.wuzhicms.com/






















END

长按识别二维码,了解更多


【漏洞预警】WUZHI CMS SQL注入漏洞(CVE-2022-27431)


原文始发于微信公众号(易东安全研究院):【漏洞预警】WUZHI CMS SQL注入漏洞(CVE-2022-27431)

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月17日04:26:12
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  【漏洞预警】WUZHI CMS SQL注入漏洞(CVE-2022-27431) http://cn-sec.com/archives/1011974.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: