CVE-2024-46103

N0zoM1z02024-09-22 20:51

前言

CVE-2024-46103 SEMCMS的sql漏洞。

漏洞简介

SEMCMS v4.8中,SEMCMS_Images.phpsearch参数,以及SEMCMS_Products.phpsearch参数,存在sql注入漏洞。

(这个之前就有两个sql的cve,这次属于是捡漏了😀)

影响版本

SEMCMS v4.8 (其它没测。。)

漏洞复现 && 分析

先看SEMCMS_Images.php中的,
SEMCMS_Images.php Line 181:

search参数没有过滤就直接拼接到了sql查询语句中,造成了sql注入漏洞。

对应场景的在这个地方:

burpsuite抓请求包,sqlmap一把梭了。()

再看SEMCMS_Products.php中的,都大差不差:
SEMCMS_Products.php line 133

一大堆没过滤的参数。

对应的业务场景在这里:

burpsuite抓包,

这里用sqlmap测试:

参考

https://www.cve.org/CVERecord?id=CVE-2024-46103

https://github.com/N0zoM1z0/Vuln-Search/blob/main/SEMCMS V4.8 sql injection 1.md

https://github.com/N0zoM1z0/Vuln-Search/blob/main/SEMCMS V4.8 sql injection 2.md

相关推荐
蓝之白10 分钟前
WEB安全_AI_WAF
web安全·ctf
菩提小狗13 小时前
小迪安全笔记_第4天|扩展&整理|30+种加密编码进制全解析:特点、用处与实战识别指南|小迪安全笔记|网络安全|
笔记·安全·web安全
老赵聊算法、大模型备案15 小时前
新规解读:2025 年修正版《中华人民共和国网络安全法》核心变化解读
安全·web安全
能年玲奈喝榴莲牛奶21 小时前
安全服务-应急响应测评
安全·web安全·安全服务
菩提小狗21 小时前
小迪安全_第4天:基础入门-30余种加密编码进制&Web&数据库&系统&代码&参数值|小迪安全笔记|网络安全|
前端·网络·数据库·笔记·安全·web安全
tmj011 天前
文件上传漏洞
web安全
德迅云安全—珍珍1 天前
2026 年网络安全预测:AI 全面融入实战的 100+行业洞察
人工智能·安全·web安全
FreeBuf_2 天前
“lc“键漏洞:LangChain高危缺陷(CVE-2025-68664)使提示注入攻击可窃取机密
安全·web安全·langchain
白帽子黑客罗哥2 天前
网络安全防护技术与实战策略:从基础防御到前沿应对
安全·web安全·php
安全渗透Hacker2 天前
PHPStudy快速搭建DVWA靶场完整指南
安全·web安全·网络安全·安全性测试
热门推荐
01GitHub 镜像站点02Linux下V2Ray安装配置指南03jdk21下载、安装(Windows、Linux、macOS)04Claude Code Skills 实用使用手册05从快手“12·22”直播攻击事件看:一次教科书式的业务层饱和攻击06UV安装并设置国内源072025 最新教程:注册并切换到美区 Apple ID08【踩坑笔记】50系显卡适配的 PyTorch 安装09电脑检测软件—图吧工具箱10祝大家 2026 年新年快乐,代码无 bug,需求一次过