一、 漏洞 CVE-2021-47811 基础信息
漏洞信息
# Grocery Crud 1.6.4 order_by SQL注入
N/A
神龙判断
是否为 Web 类漏洞: 未知
判断理由:
N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Grocery crud 1.6.4 - 'order_by' SQL Injection
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Grocery Crud 1.6.4 contains a SQL injection vulnerability in the order_by parameter that allows remote attackers to manipulate database queries. Attackers can inject malicious SQL code through the order_by[] parameter in POST requests to the ajax_list endpoint to potentially extract or modify database information.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
SQL命令中使用的特殊元素转义处理不恰当(SQL注入)
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2021-47811 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2021-47811 的情报信息
标题: Grocery CRUD | Auto PHP Codeigniter CRUD -- 🔗来源链接
标签:product
神龙速读:### 漏洞关键信息 - **项目名称**: CodeIgniter CRUD - **开源状态**: 开源 - **框架**: CodeIgniter - **语言支持**: 已翻译成34种语言 - **文档支持**: 提供详细的API文档和丰富的示例代码 - **社区支持**: 拥有一个活跃且欢迎的社区 从这个网页截图中,无法直接获取到关于漏洞的具体信息。该页面主要介绍了Grocery CRUD的功能、特点和使用方法。要获取漏洞信息,需要查看相关安全公告、漏洞报告或代码审计结果。
标题: Grocery crud 1.6.4 - 'order_by' SQL Injection - Multiple webapps Exploit -- 🔗来源链接
标签:exploit
神龙速读:- **EDB-ID**: 49985 - **CVE**: N/A - **Author**: TonyShavez - **Type**: WEBAPPS - **Platform**: MULTIPLE - **Date**: 2021-06-11 - **Vulnerable App**: Grocery Crud 1.6.4 This is an unverified exploit for an SQL Injection vulnerability in the 'order_by' feature of versions prior to v2.0.1 of Grocery Crud, a web application. The exploit was tested on a Linux Ubuntu environment. The author of the exploit, TonyShavez, has also provided the vendor homepage, software link, and the proof of concept for the exploit. The exploit utilizes an error-based SQL Injection.
标题: Download | Grocery CRUD -- 🔗来源链接
标签:product
神龙速读:### 关键信息 - **版本**: v2.0.1 - **兼容性**: CodeIgniter version 4.x - **许可证**: 双重授权,使用GPL v3和MIT许可证 - **企业版**: 需要购买才能下载,有单独的下载网站 - **旧版本下载**: 对于CodeIgniter 3,有独立的下载页面 ### 安全相关提示 - **隐私政策**: 弹窗显示关心用户数据,使用Cookie仅用于改善体验,并附有隐私政策链接 ### 备注 这张截图没有直接显示任何特定的漏洞信息,但它提供了软件的版本和兼容性信息,这些信息对于安全评估和漏洞识别是基础的。
标题: Grocery crud 1.6.4 - 'order_by' SQL Injection | Advisories | VulnCheck -- 🔗来源链接
标签:third-party-advisory
神龙速读:从该网页截图中可以提取以下关于漏洞的关键信息: - **标题**: - Grocery crud 1.6.4 - 'order_by' SQL Injection - **严重性**: - High - **日期**: - January 15, 2026 - **影响范围**: - Grocery crud < v2.0.1 - **CVE编号**: - CVE-2021-47811 - **CVSS评分**: - 8.4/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:L/VA:N/SC:N/SI:N/SA:N - **相关CWE编号**: - CWE-89 Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') - **参考资料**: - ExploitDB-49985 - Vendor Homepage - Software Download Page - **描述**: - Grocery Crud 1.6.4 存在一个SQL注入漏洞,在 order_by 参数中允许远程攻击者操纵数据库查询。攻击者可以通过向 ajax_list 接口发送POST请求并使用 order_by[] 参数注入恶意SQL代码来潜在地提取或修改数据库信息。 - **发现者**: - TonyShavez
- https://nvd.nist.gov/vuln/detail/CVE-2021-47811
四、漏洞 CVE-2021-47811 的评论
暂无评论