NiuShop开源商城 /index.php SQL 注入漏洞（CNVD-2017-08412）

漏洞描述

在 /index.php?s=/wap/goods/getShareContents///接口中，参数goods_id 未经过安全处理被直接用于构造 SQL 查询。攻击者可通过构造带有 SLEEP()的子查询让数据库延时，从而确认注入存在并进行盲注枚举。该问题属于盲注类 SQL 注入，可被用于长期数据抽取、探测数据库版本或制造拒绝服务（连接被长期占用）

相关漏洞推荐

Niushop CMS UploadFile 任意文件上传漏洞无POC

2024-03-07 | SHOP++

Niushop CMS中存在任意文件上传漏洞，此漏洞是由于未充分验证用户输入的数据所导致的。
Niushop CMS promotionZone SQL注入漏洞无POC

2024-03-07 | SHOP++

Niushop CMS中存在SQL注入漏洞，此漏洞是由于未充分验证用户输入promotionZone的数据所导致的。
Niushop CMS getGoodsListByKeyWord SQL注入漏洞无POC

2024-03-07 | SHOP++

Niushop CMS中存在SQL注入漏洞，此漏洞是由于未充分验证用户输入getGoodsListByKeyWord的数据所导致的。
Niushop开源商城系统index.php文件category_id参数-SQL注入无POC

2023-03-20 | SHOP++

Niushop开源商城系统category_id参数存在SQL注入
Niushop-任意文件包含漏洞无POC

2021-01-19 | SHOP++

【漏洞对象】Niushop 【漏洞描述】黑客可以利用漏洞包含恶意文件，导致攻击者在服务器端任意执行代码，进而控制整个web服务器。

漏洞描述

PoC代码

相关漏洞推荐

Niushop CMS UploadFile 任意文件上传漏洞 无POC

Niushop CMS promotionZone SQL注入漏洞 无POC

Niushop CMS getGoodsListByKeyWord SQL注入漏洞 无POC

Niushop开源商城系统index.php文件category_id参数-SQL注入 无POC

Niushop-任意文件包含漏洞 无POC

Niushop CMS UploadFile 任意文件上传漏洞无POC

Niushop CMS promotionZone SQL注入漏洞无POC

Niushop CMS getGoodsListByKeyWord SQL注入漏洞无POC

Niushop开源商城系统index.php文件category_id参数-SQL注入无POC

Niushop-任意文件包含漏洞无POC