01
漏洞描述
北京五指互联科技有限公司具有一支开拓进取,尊重科学,懂技术会管理,善于开拓市场,诚实守信,以客户要求为己任,充分发扬团队精神的员工队伍。自成立以来北京五指互联科技有限公司不断钻研,力求稳妥,对多种方式的利弊进行了大量指标的采集、整理、统计、分析和综合对比,力服务化。Wuzhi WUZHI CMS是五指(Wuzhi)公司的一套基于PHP和MySQL的开源内容管理系统(CMS)。
Wuzhicms v4.1.0 通过 /coreframe/app/member/admin/group.php 中的groupid 参数发现包含 SQL 注入漏洞。
02
漏洞危害
WUZHI CMS 4.1.0版本存在SQL注入漏洞,该漏洞源于/coreframe/app/member/admin/group.php的groupid参数缺少对外部输入SQL语句的验证,攻击者可利用该漏洞执行非法SQL命令窃取数据库敏感数
03
影响范围
北京五指互联科技有限公司 WUZHI CMS 4.1.0
04
漏洞等级
高危
06
修复方案
厂商尚未提供漏洞修复方案,请关注厂商主页更新:
https://www.wuzhicms.com/
END
长按识别二维码,了解更多
原文始发于微信公众号(易东安全研究院):【漏洞预警】WUZHI CMS SQL注入漏洞(CVE-2022-27431)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论