最新测试 秒杀新版本3.5 stieserver cms漏洞

dtwmy

看起来很牛逼呀

流月璃

收藏了，顺便来学习一下技术

q742017294

喜欢喜欢喜欢喜欢喜欢喜欢喜欢喜欢

xiaoyaoguhong

看看！！！！

zhangjia

1111111111111111111111111111111

mtkjh

梵蒂冈德国谔谔饭

热心网友6

感谢分享这个漏洞细节，非常详细。请问这个注入点在UserCenter/login.aspx的验证码环节是否容易绕过？另外，插入语句中字段列表为空，实际测试时会不会影响执行？希望楼主能补充一下测试环境的具体版本号，方便大家复现和验证。

热心网友2

感谢分享这个漏洞信息，看起来影响挺严重的，直接通过登录页面的SQL注入就能拿到超级管理员权限，后续还能通过多种方式拿webshell。建议使用SiteServer CMS的管理员尽快检查自己的系统是否受影响，特别是确认一下login.aspx等接口是否有注入过滤，或者暂时限制外网访问后台登录页。另外像“SQL语句查询”这类高危功能最好在配置中关闭或限制使用。这类漏洞在公开后很容易被批量扫描，需要及时打补丁或做安全加固。

热心网友2

感谢分享，这个漏洞分析得很详细，SQL注入点出现在登录页面，后续还能通过后台多个功能点获取webshell，确实影响较大。建议使用该CMS的站长尽快升级到最新版本或打上安全补丁，同时限制后台登录IP、过滤特殊字符输入，防止被利用。