漏洞名称:铭飞 CMS list 接口 sqlWhere 参数 sql 注入漏洞
English Name:MCMS list Interface sqlWhere Sql Injection Vulnerability
CVSS core: 7.5
影响资产数:3091
漏洞描述:
MCMS 是一套基于 java 开发的轻量级开源内容管理系统。 它简单、安全、开源且免费。 它可以运行在 Linux、Windows、MacOSX、Solaris 等平台上。 系统在 5.2.10 版本之前存在 sql 注入漏洞。 您可以利用此漏洞获取敏感信息
漏洞影响:
除了利用 SQL 注入漏洞获取数据库中的信息(如管理员后台密码、站点用户个人信息)外,攻击者甚至可以在高权限的情况下向服务器写入木马 进一步获取服务器系统权限。
FOFA查询语句(点击直接查看结果):
body=“铭飞MCMS” || body=“/mdiy/formData/save.do” || body=“static/plugins/ms/1.0.0/ms.js”
此漏洞已可在Goby漏扫/红队版进行扫描验证
