CVE-2024-46103

N0zoM1z02024-09-22 20:51

前言

CVE-2024-46103 SEMCMS的sql漏洞。

漏洞简介

SEMCMS v4.8中,SEMCMS_Images.phpsearch参数,以及SEMCMS_Products.phpsearch参数,存在sql注入漏洞。

(这个之前就有两个sql的cve,这次属于是捡漏了😀)

影响版本

SEMCMS v4.8 (其它没测。。)

漏洞复现 && 分析

先看SEMCMS_Images.php中的,
SEMCMS_Images.php Line 181:

search参数没有过滤就直接拼接到了sql查询语句中,造成了sql注入漏洞。

对应场景的在这个地方:

burpsuite抓请求包,sqlmap一把梭了。()

再看SEMCMS_Products.php中的,都大差不差:
SEMCMS_Products.php line 133

一大堆没过滤的参数。

对应的业务场景在这里:

burpsuite抓包,

这里用sqlmap测试:

参考

https://www.cve.org/CVERecord?id=CVE-2024-46103

https://github.com/N0zoM1z0/Vuln-Search/blob/main/SEMCMS V4.8 sql injection 1.md

https://github.com/N0zoM1z0/Vuln-Search/blob/main/SEMCMS V4.8 sql injection 2.md

相关推荐
Y学院11 小时前
网络安全基础核心知识点教程
网络·web安全·php
德迅云安全-小潘12 小时前
游戏行业网络安全态势分析与应对
安全·web安全·游戏
网络安全实验室16 小时前
【程序人生】程序员接私活常用平台汇总_嵌入式开发外包平台
网络·python·学习·程序人生·web安全·面试·职场和发展
网络安全许木16 小时前
自学渗透测试第19天(ARP欺骗原理与Ettercap实战)
网络·web安全·渗透测试
Chengbei1117 小时前
业务视角下的金融SRC快速挖掘思路
网络·安全·web安全·网络安全·金融·系统安全·网络攻击模型
姬成韶17 小时前
BUUCTF--[网鼎杯 2020 朱雀组]phpweb
web安全·网络安全·代码审计
一名优秀的码农17 小时前
vulhub系列-73-RA1NXing Bots(超详细)
安全·web安全·网络安全·网络攻击模型·安全威胁分析
Y学院17 小时前
隐蔽防线,智护互联——网络安全隧道技术的核心价值与实践应用
web安全·网络安全
xixixi7777717 小时前
Gartner 2026核心趋势:前置式主动安全(PCS)成为安全战略新范式,量子安全+国密算法构筑政企纵深防御底座
网络·人工智能·安全·web安全·ai·量子计算
Tattoo_Welkin18 小时前
web安全登录协议-EIP-4361 和 JWT 验证 以及RSA,ECDSA 算法
算法·web安全·区块链
热门推荐
012026年4月技术前沿:AI大模型爆发、智能体革命与量子安全新纪元02GitHub 镜像站点032026 年 AI 编程助手全面对比评测:Cursor vs Copilot vs Claude Code vs GitHub Copilot Free042026年4月AI大事件深度解读:大模型竞争进入“深水区“05Claude Code Windows 兼容性问题:指定版本 2.1.112 可解决06AI Weekly | 2026年4月第二周 · GitHub热门项目与AI发展趋势深度解析07UBUNTU Claude Code 报错 claude native binary not installed08近期有什么ai的新消息,新动态? 2026.4月09从限购到畅通:GLM-5.1 Coding Plan接入攻略10从零部署 Hermes Agent:一只"会成长的 AI 马"保姆级安装教程