CRMEB开源电商系统 /api/products SQL注入漏洞

2024年6月19日20:45:56评论12 views字数 416阅读1分23秒阅读模式

漏洞描述

2024年6月，CRMEB开源电商系统发布了新补丁，修复了一处 SQL注入漏洞（CVE-2024-36837）。经分析，该漏洞可以通过请求api的路径接口来进行SQL注入，进而可能导致敏感信息泄露，该注入可暴露后台web绝对路径，深入利用可获取服务器权限，该漏洞无前置条件且利用简单，建议受影响的用户尽快修复漏洞。

漏洞环境

FOFA语法：

body="/wap/first/zsff/iconfont/iconfont.css" || body="CRMEB"

CRMEB开源电商系统 /api/products SQL注入漏洞

漏洞复现

构造payload发送请求

CRMEB开源电商系统 /api/products SQL注入漏洞

sqlmap验证

CRMEB开源电商系统 /api/products SQL注入漏洞

漏洞修复建议

升级修复方案

目前厂商已发布新版本修复此漏洞，建议受影响用户升级至安全版本

https://github.com/crmeb/CRMEB/tree/master

nuclei批量检测

原文始发于微信公众号（Sec探索者）：【漏洞复现】CRMEB开源电商系统 /api/products SQL注入漏洞

左青龙
微信扫一扫

右白虎
微信扫一扫

CRMEB开源电商系统 /api/products SQL注入漏洞

Rejetto HTTP File Server 文件服务器未经身份验证RCE（CVE-2024-23692）

0day|OpenSSH 远程代码执行漏洞(CVE-2024-6387)

Whoogle Search文件写入漏洞（CVE-2024-22204）

Rejetto HTTP File Server 存在远程命令执行漏洞CVE-2024-23692 附POC

Rejetto HTTP 文件服务器未经身份验证的 RCE【附poc】

华测监测预警系统2.2 UserEdit.aspx sql注入

【成功复现】XWiki Platform远程代码执行漏洞(CVE-2024-29973)

某HCM智能人力资源系统存在SQL注入漏洞导致Getshell

某华ICC智能物联综合管理平台env敏感信息泄露

GeoServer开源地理服务 wfs 远程命令执行(CVE-2024-36401)

发表评论

在线咨询

微信