bladex-dict-biz-list-sql注入漏洞复现

2024年4月17日14:07:56评论21 views字数 470阅读1分34秒阅读模式

产品描述

Bladex是一款功能强大的数据分析和管理工具，它具备出色的数据处理能力和灵活的权限管理功能，广泛应用于企业内部的数据分析、报表制作和决策支持等领域。在Bladex中，数据权限的实现至关重要，它基于角色和资源两个核心概念进行精细化的权限控制。角色代表用户在系统中扮演的特定身份，而资源则是用户可以访问的数据对象。通过为不同角色分配不同的权限，Bladex确保用户只能访问其权限范围内的数据，从而有效保护整个数据系统的安全。

FOFA语法

body="https://bladex.vip/"

漏洞复现

python3 main.py -f url.txt -p bladex-dict-biz-list-sqli

bladex-dict-biz-list-sql注入漏洞复现

漏洞批量扫描脚本与poc发布在知识星球

修复建议

1、限制dict-biz-list接口的访问

2、升级bladex至最新版本

3、官网下载最新补丁版本：https://bladex.cn/

明日预告

无

原文始发于微信公众号（SCA御盾）：【漏洞复现】bladex-dict-biz-list-sql注入漏洞复现

左青龙
微信扫一扫

右白虎
微信扫一扫

bladex-dict-biz-list-sql注入漏洞复现

MajorDoMo 未授权RCE漏洞

QVD-2024-15263禅道项目管理系统身份认证绕过

某直辖市HW三甲医院公众号越权漏洞泄露8W+个人信息

禅道项目管理系统身份认证绕过

Pkpmbs建设工程质量监督系统FileUpOrDown.ashx存在文件上传漏洞

CVE-2024-24488

用友NC grouptemplet 任意文件上传漏洞

瑞友天翼虚拟化系统-SQL注入-ConsoleExternalApi

用友一波POC/EXP

禅道 zentaosid 身份认证绕过漏洞

发表评论

在线咨询

微信