漏洞描述
锐明技术作为一家专注于A!和视频技术的商用车智能物联(AI0T)解决方案提供商,Crocus系统是其核心产品之一。其MemoryState.do接口存在SQL注入漏洞。由于未对用户输入的MouldID参数进行有效过滤或参数化绑定,攻击者可通过构造恶意SQL语句进 行注入攻击。利用该漏洞,攻击者可以获取敏感数据库信息(如管理员密码、用户个人信息),在高权限场景下甚至可以向服务器写入木马程序,进一步获取系统权限。
锐明技术Crocus /MemoryState.do?Action=Query SQL 注入漏洞
PoC代码
暂无相关漏洞推荐
- 锐明技术Crocus系统 DeviceFileUpload.do 文件读取漏洞
- 锐明技术 Crocus系统 DeviceFileUpload.do 任意文件读取漏洞
- 锐明技术Crocus系统 DeviceFileUpload.do 任意文件读取漏洞
- 锐明技术Crocus系统 DeviceFileReport.do 任意文件读取漏洞
- 锐明技术Crocus系统 Upload存在任意文件上传漏洞
- 锐明运维平台Crocus MemoryState.do SQL注入漏洞
- 锐明技术Crocus系统 RepairRecord.do 存在SQL注入漏洞
- POC crocus-service-do-fileread: 锐明技术Crocus系统存在任意文件读取
- POC crocus-lfi: Crocus system Service.do - Arbitrary File Read
- 锐明技术Crocus系统存在SQL注入漏洞
- 锐明技术Crocus系统存在文件上传漏洞
- POC 锐明 Crocus 运维平台 /Service.do 文件读取漏洞
- 深圳市锐明技术股份有限公司Crocus系统存在敏感信息泄露漏洞