关键信息 1. 漏洞编号: - VDB-281987 - CVE-2017-20195 2. 漏洞名称: - LUNAD3V AREALOAD UP TO 1A1103182ED63A06DDE63D1712F3262EDA19C3EC REQUEST.PHP PHONE SQL INJECTION 3. CVSS Meta Temp Score: - 5.3 4. 当前漏洞价格: - $0-$5k 5. CTI兴趣评分: - 1.26 6. 漏洞描述: - 一个在LUNAD3v AreaLoad up to 1a1103182ed63a06ddee63d1712f3262eda19c3ec的漏洞被发现。它影响了一些未知的request.php文件处理。通过电话参数与未知输入的操纵导致SQL注入漏洞。使用CWE来描述问题导致CWE-89。产品使用外部影响输入构建SQL命令,但未正确中和或未中和特殊字符,这些字符可能修改发送到下游组件的SQL命令。影响了机密性、完整性和可用性。 7. 披露日期: - 2017年6月1日 8. 漏洞识别: - CVE-2017-20195 9. 漏洞利用难度: - 已知容易利用 10. 技术细节: - 已知,但没有可用的exploit 11. 攻击技术: - T1505(根据MITRE ATT&CK) 12. 搜索方法: - 通过搜索inurl:request.php可以找到易受攻击的目标 13. 修复方法: - 应用补丁264813c546db03989ac0fc365f2022bf65e3be2可以消除此问题。修复补丁已准备好下载,可以在github.com上找到。 14. 漏洞相似性: - VDB-37289和VDB-82927与该漏洞非常相似。