一、 漏洞 CVE-2024-13979 基础信息
漏洞信息
                                        # St. Joe ERP SQL注入漏洞

## 概述

St. Joe ERP系统(圣乔ERP系统)存在SQL注入漏洞,允许未经身份验证的远程攻击者通过构造的HTTP POST请求访问登录端点,执行任意SQL命令。

## 影响版本

受影响版本范围未明确。

## 细节

攻击者可通过向登录接口发送恶意构造的POST请求,利用未正确过滤或转义的用户输入,操纵后端SQL查询。

## 影响

成功利用此漏洞可能导致攻击者未经授权访问数据、修改数据库记录,或对服务造成有限程度的中断。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
St. Joe ERP System SingleRowQueryConverter SQL Injection
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A SQL injection vulnerability exists in the St. Joe ERP system ("圣乔ERP系统") that allows unauthenticated remote attackers to execute arbitrary SQL commands via crafted HTTP POST requests to the login endpoint. The application fails to properly sanitize user-supplied input before incorporating it into SQL queries, enabling direct manipulation of the backend database. Successful exploitation may result in unauthorized data access, modification of records, or limited disruption of service. An affected version range is undefined. Exploitation evidence was first observed by the Shadowserver Foundation on 2025-04-14 UTC.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
SQL命令中使用的特殊元素转义处理不恰当(SQL注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
ShengQiao Technology St. Joe ERP System 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
ShengQiao Technology St. Joe ERP System是中国圣乔科技(ShengQiao Technology)公司的一款企业级管理软件。 ShengQiao Technology St. Joe ERP System存在安全漏洞,该漏洞源于输入清理不足,可能导致SQL注入攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-13979 的公开POC
# POC 描述 源链接 神龙链接
1 A SQL injection vulnerability exists in the St. Joe ERP system ("圣乔ERP系统") that allows unauthenticated remote attackers to execute arbitrary SQL commands via crafted HTTP POST requests to the login endpoint. The application fails to properly sanitize user-supplied input before incorporating it into SQL queries, enabling direct manipulation of the backend database. https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2024/CVE-2024-13979.yaml POC详情
三、漏洞 CVE-2024-13979 的情报信息

  • 标题: 圣乔ERP系统 queryForString.dwr SQL注入漏洞复现-CSDN博客 -- 🔗来源链接

    标签: technical-description exploit

    神龙速读
    圣乔ERP系统 queryForString.dwr SQL注入漏洞复现-CSDN博客

  • 标题: POC/wpoc/圣乔ERP/圣乔ERP系统SingleRowQueryConvertor存在SQL注入漏洞.md at main · adysec/POC · GitHub -- 🔗来源链接

    标签: exploit

    神龙速读
    POC/wpoc/圣乔ERP/圣乔ERP系统SingleRowQueryConvertor存在SQL注入漏洞.md at main · adysec/POC · GitHub

  • 标题: Search results "圣乔ERP系统" - FOFA Search Engine -- 🔗来源链接

    标签: product

    神龙速读
    Search results "圣乔ERP系统" - FOFA Search Engine

  • 标题: St. Joe ERP System SingleRowQueryConverter SQL Injection | Advisories | VulnCheck -- 🔗来源链接

    标签: third-party-advisory

    神龙速读
    St. Joe ERP System SingleRowQueryConverter SQL Injection | Advisories | VulnCheck
  • https://nvd.nist.gov/vuln/detail/CVE-2024-13979
四、漏洞 CVE-2024-13979 的评论

暂无评论

发表评论