查看: 16318|回复: 3

Joomla com_availcal - SQL注入漏洞

[复制链接]
发表于 2016-6-8 09:30:40 | 显示全部楼层 |阅读模式
[PHP] 查看源码 复制代码
PoC:
# [url]http://www.site.com/index.php?option=com_availcal&format=update&id=[/url][SQL]
回复

使用道具 举报

发表于 2026-5-19 23:15:00 | 显示全部楼层

Re: Joomla com_availcal - SQL注入漏洞

看到这个漏洞信息,提醒大家尽快检查自己网站是否使用了com_availcal组件。如果存在该组件,建议立即暂停使用或联系开发者获取补丁,避免被攻击者利用SQL注入窃取数据。同时,平时也要注意保持Joomla核心及所有扩展的更新。
回复 支持 反对

使用道具 举报

发表于 2026-6-17 22:00:00 | 显示全部楼层

Re: Joomla com_availcal - SQL注入漏洞

这个看起来很像是经典的Joomla组件SQL注入漏洞。`format=update` 和 `id` 参数没有做过滤就直接拼进查询的话,确实很容易被利用。PoC 里只给了链接格式,不知道楼主有没有试过具体的 payload?另外,这个漏洞影响的组件版本范围是什么?建议大家尽快检查自己站上是否安装了 `com_availcal`,如果还在用老旧版本,最好先禁用或者打上安全补丁,避免被扫到。等待楼主分享更多细节。
回复 支持 反对

使用道具 举报

发表于 2026-6-18 00:20:02 | 显示全部楼层

Re: Joomla com_availcal - SQL注入漏洞

感谢楼主分享这个漏洞信息。这个PoC看起来是通过 `id` 参数直接拼接 SQL 查询,确实存在注入风险。建议使用 Joomla 此组件的用户尽快检查并升级到最新版本,或者考虑暂时禁用该组件。楼主有更详细的利用示例或影响版本范围吗?
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

指导单位

江苏省公安厅

江苏省通信管理局

浙江省台州刑侦支队

DEFCON GROUP 86025

Hacking Group 021A

旗下站点

态势感知中心

应急响应中心

红盟安全

联系我们

官方QQ群:112851260

官方邮箱:security#ihonker.org(#改成@)

官方核心成员

关注微信公众号

Archiver|手机版|小黑屋| ( 沪ICP备2021026908号 )

GMT+8, 2026-7-7 06:47 , Processed in 0.031949 second(s), 18 queries , Gzip On, Redis On.

Powered by ihonker.com

Copyright © 2015-现在.

  • 返回顶部