bladex-tenant-list-sql注入漏洞复现

2024年5月29日13:41:21评论18 views字数 413阅读1分22秒阅读模式

01 产品描述

Bladex是一款功能强大的数据分析和管理工具，它具备出色的数据处理能力和灵活的权限管理功能，广泛应用于企业内部的数据分析、报表制作和决策支持等领域。在Bladex中，数据权限的实现至关重要，它基于角色和资源两个核心概念进行精细化的权限控制。角色代表用户在系统中扮演的特定身份，而资源则是用户可以访问的数据对象。通过为不同角色分配不同的权限，Bladex确保用户只能访问其权限范围内的数据，从而有效保护整个数据系统的安全。

02 FOFA语法

 body="https://bladex.vip/"

03 漏洞复现

python3 main.py -f url.txt -p bladex-tenant-list-sqli(1)

bladex-tenant-list-sql注入漏洞复现

04 修复建议

1、sql预编译

2、官网下载最新补丁版本：https://bladex.cn/

原文始发于微信公众号（SCA御盾）：【漏洞复现】bladex-tenant-list-sql注入漏洞复现

左青龙
微信扫一扫

右白虎
微信扫一扫

bladex-tenant-list-sql注入漏洞复现

VMware vCenter Server 关键 RCE 漏洞 (CVE-2024-37079, CVE-2024-37080)

碧海威科技-L7云路由jumper.php存在命令执行漏洞

锐捷上网行为管理系统 static_convert 命令执行漏洞【附poc】

锐捷上网行为管理系统naborTable RCE[附POC]

xwiki-CVE-2024-31982漏洞深入复现

锐捷统一上网行为管理与审计系统naborTable命令执行POC

漏洞预警 | XWiki远程代码执行漏洞

时空智友ERP系统 updater.uploadStudioFile 任意文件上传漏洞

Probllama：Ollama AI 远程代码执行漏洞 (CVE-2024-37032) - 概述和缓解措施

逻辑缺陷导致的敏感信息泄露

发表评论

在线咨询

微信