一、 漏洞 CVE-2024-30163 基础信息
漏洞信息
                                        # N/A

## 漏洞概述
Invision Community 在 4.7.16 之前的版本中存在 SQL 注入漏洞。该漏洞可以通过 `applications/nexus/modules/front/store/store.php` 文件中的 `_categoryView()` 方法利用未经妥善清理的用户输入参数 `filter` 实现。

## 影响版本
- Invision Community 4.7.16 之前的版本

## 漏洞细节
用户输入通过 `filter` 请求参数传递到 `_categoryView()` 方法,未经过充分清理即用于执行 SQL 查询。攻击者可以通过此漏洞进行盲注攻击。

## 影响
未认证攻击者可以利用此漏洞实施盲注攻击,可能导致数据库信息泄露或其他安全风险。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Invision Community before 4.7.16 allow SQL injection via the applications/nexus/modules/front/store/store.php IPS\nexus\modules\front\store\_store::_categoryView() method, where user input passed through the filter request parameter is not properly sanitized before being used to execute SQL queries. This can be exploited by unauthenticated attackers to carry out Blind SQL Injection attacks.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Invision Community 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Invision Community是美国Invision公司的一个用于设计、开发移动应用UI的软件。 Invision Community 4.7.16之前版本存在安全漏洞,该漏洞源于应用程序未能正确地对请求参数进行清理,未经身份验证的攻击者可以利用这个漏洞执行盲SQL注入攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-30163 的公开POC
# POC 描述 源链接 神龙链接
1 IPS Community Suite is vulnerable to unauthenticated SQL injection via the filter[] parameter in the /index.php?/store/ endpoint, allowing attackers to extract sensitive information from the database. https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2024/CVE-2024-30163.yaml POC详情
三、漏洞 CVE-2024-30163 的情报信息