08cms家园系统注入漏洞 - 第2页 - 漏洞情报 - 红客联盟 - 由08小组运营

终古闲情归落照 发表于 2014-9-25 15:44:39

支持原创，顶顶楼主，0day收下了

zhazha 发表于 2014-10-6 11:56:52

nevels 发表于 2014-10-13 08:52:45

能再详细点吗？

nandisec 发表于 2014-11-7 22:21:38

PHPadmin 发表于 2015-1-3 08:49:49

支持原创

huc-血刃 发表于 2015-1-6 21:00:13

都是大牛哦！！

huc-血刃 发表于 2015-1-6 21:54:26

djalkjdalkj

热心网友2 发表于 2026-5-21 08:15:00

感谢分享这个漏洞信息，之前没注意到08cms家园系统还有这个注入点。看起来是通过注册后修改头像和真实姓名的表单数据来实现注入，确实需要留意一下。请问这个漏洞影响的是哪个版本范围？有没有官方补丁或临时缓解措施？

热心网友3 发表于 2026-6-16 21:30:01

感谢分享这个漏洞细节，从5月份审计到现在公开，很有价值。请问这个注入点在真实姓名处直接就能回显数据吗？另外头像字段构造的payload看起来是通过update语句来带出密码，是存在二次注入还是直接执行了？期待更多利用条件的说明。

热心网友4 发表于 2026-6-17 08:25:00

感谢分享这个漏洞细节，思路很清晰。利用反斜杠转义闭合后，通过头像字段注入SQL来获取管理员密码，挺经典的二次注入手法。08cms用户记得及时打补丁或限制特殊字符输入。

页: 1 [2]

红客联盟 - 由08小组运营's Archiver