XMall 开源商城 SQL注入漏洞复现(CVE-2024-24112)

  • 开发
  • 29

0x01 产品简介

XMall 开源电商商城 是开发者Exrick的一款基于SOA架构的分布式电商购物商城 前后端分离 前台商城:Vue全家桶 后台管理:Dubbo/SSM/Elasticsearch/Redis/MySQL/ActiveMQ/Shiro/Zookeeper等。

0x02 漏洞概述

XMall 开源商城 /item/list、/item/listSearch、/sys/log、/order/list、/member/list 、/member/list/remove等多处接口存在SQL注入漏洞,未经身份验证的攻击者可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。

0x03 影响范围

xmall

1.1版本

0x04 复现环境

FOFA:app="XMall-后台管理系统"

0x05 漏洞复现

PoC

GET /item/list?draw=1&order%5B0%5D%5Bcolumn%5D=1&order%5B0%5D%5Bdir%5D=d
阅读全部

相关推荐

  4. 漏洞】NotificationX SQL注入漏洞(CVE-2024-1698)

    2024-02-16 23:04:01       21 阅读

  6. 漏洞】WordPress Automatic插件存在SQL注入漏洞(CVE-2024-27956)

    2024-02-16 23:04:01       12 阅读

最近更新

  4. TCP协议是安全的吗?

    2024-02-16 23:04:01       17 阅读

  12. 阿里云服务器执行yum,一直下载docker-ce-stable失败

    2024-02-16 23:04:01       16 阅读

  13. 【Python教程】压缩PDF文件大小

    2024-02-16 23:04:01       15 阅读

  18. 通过文章id递归查询所有评论(xml)

    2024-02-16 23:04:01       18 阅读

热门阅读

  1. Python自动化应用:七个实用代码案例分享

    2024-02-16 23:04:01       25 阅读

  2. Redis-面试题

    2024-02-16 23:04:01       31 阅读

  6. 15.3 OpenGL可编程片段处理:片段着色器查询

    2024-02-16 23:04:01       34 阅读

  7. 「MySQL」事务

    2024-02-16 23:04:01       31 阅读

  9. 相向双指针题单

    2024-02-16 23:04:01       36 阅读

  10. leetcode刷题记录:二叉树02(思路篇)

    2024-02-16 23:04:01       32 阅读

  13. Spring基础 - Spring和Spring框架组成

    2024-02-16 23:04:01       28 阅读

  14. C++中const关键字详解

    2024-02-16 23:04:01       26 阅读

  17. C/C++中static关键字详解

    2024-02-16 23:04:01       30 阅读

  22. 华为OD机试真题-最大N个数与最小N个数的和-2024年OD统一考试(C卷)

    2024-02-16 23:04:01       27 阅读

  24. CCF编程能力等级认证GESP—C++1级—20231209

    2024-02-16 23:04:01       48 阅读
  27. Vue语法

    Vue语法

    2024-02-16 23:04:01      24 阅读

  28. 【动态规划】买卖股票问题

    2024-02-16 23:04:01       30 阅读