支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:736

73.6%
立即捐款
一、 漏洞 CVE-2021-47766 基础信息
漏洞信息
                                        # Kmaelon 1.1.0.205 SQL注入漏洞

N/A
神龙判断

是否为 Web 类漏洞: 未知

判断理由:

N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Kmaleon 1.1.0.205 - 'tipocomb' SQL Injection (Authenticated)
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Kmaleon 1.1.0.205 contains an authenticated SQL injection vulnerability in the 'tipocomb' parameter of kmaleonW.php that allows attackers to manipulate database queries. Attackers can exploit this vulnerability using boolean-based, error-based, and time-based blind SQL injection techniques to potentially extract or manipulate database information.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
SQL命令中使用的特殊元素转义处理不恰当(SQL注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
Wolters Kluwer Kmaleon SQL注入漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Wolters Kluwer Kmaleon是德国Wolters Kluwer公司的一款案件管理自动化软件。 Wolters Kluwer Kmaleon 1.1.0.205版本存在SQL注入漏洞,该漏洞源于kmaleonW.php的tipocomb参数存在SQL注入,可能导致攻击者操纵数据库查询。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
SQL注入
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2021-47766 的公开POC
#POC 描述源链接神龙链接
三、漏洞 CVE-2021-47766 的情报信息

  • 标题: Kmaleon 1.1.0.205 - 'tipocomb' SQL Injection (Authenticated) - PHP webapps Exploit -- 🔗来源链接

    标签:exploit

    神龙速读:
                                            从截图中,我们可以提取到以下关于该漏洞的关键信息:

- **漏洞详情**:
    - **标题**: Kmaleon 1.1.0.205 - 'tipocomb' SQL Injection (Authenticated)
    - **类型**: WEBAPPS
    - **作者**: Amel BOUZIANE-LEBLOND
    - **平台**: PHP
    - **日期**: 2021-11-08
    - **相关标识**:
        - **Edb-id**: 50499
        - **CVE**: N/A
    - **验证状态**: 未验证 (由 EDB Verified: × 标记)

- **应用信息**:
    - **受影响的软件**: Kmaleon v1.1.0.205
    - **软件链接**: [Kmaleon-abogado](https://www.levelprograms.com/kmaleon-abogados/)
    - **开发厂商**: [levelprograms.com](https://www.levelprograms.com)

- **漏洞描述与测试环境**:
    - 应用程序在 `tipocomb` 参数的处理中存在 SQL 注入漏洞,可以通过该参数进行 SQL 注入攻击。
    - 漏洞在 Linux环境下进行了测试。

- **攻击载荷信息**:
    - **基于错误的 SQL 注入载荷**: 该载荷测试针对 MySQL >= 5.0 的环境,利用了错误注入技术。
    - **基于时间的盲注 SQL 注入载荷**: 针对 MySQL >= 5.0.12 的环境,利用了时间延迟技术来推断数据库信息。

- **数据库相关**:
    - 后端采用的数据库管理系统是 MySQL,且其版本 >= 5.0.0。

此截图直接来源于 Exploit Database 网站,提供了关于该 SQL 注入漏洞的详细技术和环境信息,对网络安全研究人员或渗透测试人员有参考价值。
    Kmaleon 1.1.0.205 - 'tipocomb' SQL Injection (Authenticated) - PHP webapps Exploit

  • 标题: KMALEON Abogados | Level | Especializados en el desarrollo de software de gestión profesional -- 🔗来源链接

    标签:product

    神龙速读:
                                            从该网页截图中可以获取到以下关于漏洞的关键信息:

- **网页快照时间**:截图显示了该网站在Wayback Machine中的保存版本,日期为2022年5月16日。
- **网页内容陈旧**:虽然截图显示了网页的内容,但考虑到网站可能已经更新,使用旧版本的网页可能存在安全风险,因为可能没有最新的安全补丁。
- **Cookie通知栏**:页面底部的Cookies通知栏提示用户网站使用Cookies收集信息,这表明网站可能依赖于客户端数据存储,如果网站没有正确处理Cookies,可能引发安全问题。
- **联系方式暴露**:网页中公开了电话号码(902 15 21 27),如果没有适当的防护,可能会被用于网络钓鱼或垃圾电话攻击。
- **功能模块**:网站提供的各项功能(如管理文件、时间与成本控制、Web访问等)可能包含输入验证不严、权限控制不当等漏洞。
- **用户互动**:页面包含一个用户表单,要求用户提供姓名、电话和电子邮件等信息,若表单处理不当,可能引发SQL注入、跨站脚本(XSS)等安全问题。

总的来说,该截图提供了一些可能的安全风险点,需要进一步的安全评估和检查来确认是否存在实际的漏洞。
    KMALEON Abogados | Level | Especializados en el desarrollo de software de gestión profesional
  • https://nvd.nist.gov/vuln/detail/CVE-2021-47766
四、漏洞 CVE-2021-47766 的评论

暂无评论

发表评论