关键漏洞信息 漏洞概述 漏洞名称: Billing Software v1.0 - Multiple SQLi 发现者: Andres Boldan 状态: Public 发布日期: Dec 6, 2023 受影响产品: Billing Software 供应商: Kashipara Group 受影响版本: Version 1.0 漏洞类型: Unauthenticated SQL Injections (SQLi) 远程可利用: Yes CVSS v3.0 向量字符串: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:A/H CVSS v3.0 基础分数: 9.8 CVE ID: CVE-2023-49622, CVE-2023-49624, CVE-2023-49625, CVE-2023-49633, CVE-2023-49639, CVE-2023-49641, CVE-2023-49658, CVE-2023-49665, CVE-2023-49666 时间线 漏洞发现: Nov 24, 2023 联系供应商: Dec 2, 2023 公开披露: Dec 6, 2023 漏洞描述 Billing Software v1.0 存在多个未认证的 SQL 注入漏洞。 漏洞详情 CVE-2023-49622: 参数未验证字符并直接发送到数据库。 CVE-2023-49624: 参数未验证字符并直接发送到数据库。 CVE-2023-49625: 参数未验证字符并直接发送到数据库。 CVE-2023-49633: 参数未验证字符并直接发送到数据库。 CVE-2023-49639: 参数未验证字符并直接发送到数据库。 CVE-2023-49641: 参数未验证字符并直接发送到数据库。 CVE-2023-49658: 参数未验证字符并直接发送到数据库。 CVE-2023-49665: 参数未验证字符并直接发送到数据库。 CVE-2023-49666: 参数未验证字符并直接发送到数据库。 缓解措施 目前没有可用的补丁来解决此漏洞。 系统信息 版本: Billing Software v1.0 操作系统: Any 参考资料 供应商页面: https://www.kashipara.com/