一、 漏洞 CVE-2024-13151 基础信息
漏洞信息
# Logo软件零售销售管理SQL注入漏洞
## 概述
存在一个**SQL注入**(CWE-89)漏洞,允许攻击者通过用户控制的SQL主键绕过授权机制(CAPEC-7 - 盲注)。该漏洞影响**Logo Software Retail Sales Management**软件,问题截止至**2025年9月18日**仍未修复。
## 影响版本
- **Retail Sales Management**: 影响版本截至 20250918
- 漏洞修补状态:**未完成**(vendor未在规定时间内完成修复)
## 细节
- 漏洞类型:**SQL注入**(Improper Neutralization of Special Elements in SQL Commands)
- 攻击方式:**Blind SQL Injection**(CAPEC-7)
- 漏洞后果:攻击者可通过控制SQL主键字段执行恶意SQL指令,可能导致数据泄露、篡改或绕过权限控制
## 影响
- 数据库操作被恶意操控
- 可能导致未经授权的数据访问
- 潜在导致关键业务数据被破坏或更改
- 当前暂无修补程序可供下载,需等待厂商提供后续更新信息
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
SQLi in Logo Software's Diva
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Authorization Bypass Through User-Controlled SQL Primary Key, CWE - 89 - Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') vulnerability in Logo Software Diva allows SQL Injection, CAPEC - 7 - Blind SQL Injection.This issue affects Diva: through 4.56.00.00.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
通过用户控制SQL主密钥绕过授权机制
来源:美国国家漏洞数据库 NVD
漏洞标题
Logo Diva 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Logo Diva是土耳其Logo公司的一系列云端零售管理平台。 Logo Diva 4.56.00.00及之前版本存在安全漏洞,该漏洞源于用户可控SQL主键导致授权绕过,可能导致SQL注入攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-13151 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2024-13151 的情报信息
四、漏洞 CVE-2024-13151 的评论
暂无评论