QDocs Smart School SQL注入漏洞

admin

109383
文章

90
评论

2024年7月3日10:20:48评论6 views字数 663阅读2分12秒阅读模式

0x00 漏洞编号

暂无

0x01 危险等级

高危

0x02 漏洞概述

QDocs Smart School是一套智慧校园管理系统。

QDocs Smart School SQL注入漏洞

0x03 漏洞详情

漏洞类型：SQL注入

影响：获取敏感数据

简述：Smart School 6.4.1系统filterRecords接口存在SQL注入漏洞，攻击者可获取数据库敏感数据，甚至执行命令,进而有可能导致主机被远控。

0x04 影响版本

Smart School 6.4.1

0x05 POC

POST /course/filterRecords/ HTTP/1.1searchdata[0][title]=[SQLi]&searchdata[0][searchfield]=[SQLi]&searchdata[0][searchvalue]=[SQLi]&searchdata[1][title]=[SQLi]&searchdata[1][searchfield]=[SQLi]&searchdata[1][searchvalue]=[SQLi]

https://packetstormsecurity.com/files/175071/Smart-School-6.4.1-SQL-Injection.html

仅供安全研究与学习之用，若将工具做其他用途，由使用者承担全部法律及连带责任，作者及发布者不承担任何法律及连带责任。

0x06 修复建议

目前官方已发布漏洞修复版本，建议用户升级到安全版本：

https://smart-school.in/

原文始发于微信公众号（浅安安全）：漏洞预警 | QDocs Smart School SQL注入漏洞

左青龙
微信扫一扫

右白虎
微信扫一扫

QDocs Smart School SQL注入漏洞

暂无

[含POC]宏景eHR LoadOtherTreeServlet SQL注入漏洞

Love-Yi情侣网站3.0存在SQL注入漏洞

Geoserver JXPath表达式注入致远程代码执行漏洞(CVE-2024-36401)

Geoserver Xpath 属性名表达式前台RCE漏洞（CVE-2024-36401）

Artifex Ghostscript任意代码执行漏洞（CVE-2024-29510）

CVE-2024-34331：Parallels Repack 权限提升

【成功复现】Check Point Security Gateways 任意文件读取漏洞(CVE-2024-24919)

GeoServer wfs接口处存在RCE漏洞(CVE-2024-36401)

用友 U8-cloud api_hr sql注入漏洞

GeoServer 任意命令执行漏洞 CVE-2024-36401

发表评论

在线咨询

微信