zentaopms-9.1.2-sql SQL注入
| ID: | 16830 |
|---|---|
| 标题: | zentaopms-9.1.2-sql SQL注入 |
| 描述: | zentaopms-9.1.2-sql SQL注入 vulfocus/zentaopms_9.1.2_sql:latest 禅道 项目管理软件 是国产的开源项目管理软件,专注研发项目管理,内置需求管理、任务管理、bug管理、缺陷管理、用例管理、计划发布等功能,实现了软件的完整生命周期管理。 漏洞出现在zentao\lib\base\dao\dao.class.php中的orderBy函数没有对limit部分做任何限制就直接拼接。也就是说,使用了orderBy这个函数的地方都有可能产生过滤。后台管理员账户admin/zxc@123 路径:/zentaopms/www/index.php |
| 类型: | WEB |
| 网站: | vulfocus |
| 题目链接: | https://vulfocus.cn |
| 赛事: | None |
| 年度: | None |
| Flag值: | zentaopms-9.1.2-sql SQL注入漏洞的复现步骤及POC验证过程详见CN-SEC中文网的详细分析,包括构造恶意请求、利用SQL注入获取数据库权限等完整技术细节。 |
| writeup: | https://cn-sec.com/archives/4384479.html |