漏洞信息 漏洞名称: Remote Blind SQL Injections in Inout Homestay 产品: Inout Homestay 版本: 2.2 日期: 2022-05-26 厂商站点: https://www.inoutscripts.com/products/inout-homestay/ POC: https://github.com/bigb0x/CVEs/blob/main/Inout-Homestay-2-2-sqli.md CVE编号: CVE-2022-32055 漏洞发现者: Mohamed N. Ali @MohamedNabil 描述 Inout Homestay 版本 2.2 存在基于时间的盲 SQL 注入漏洞。POST 参数 "guests" 易受 SQL 注入攻击,允许远程非认证攻击者注入 SQL 代码,可能造成信息完全泄露。 受影响参数: guests (POST) 漏洞: 时间盲 SQL 注入存在于 guests (POST) 参数中。 易受攻击文件: index.php payload HTTP Post 请求 POC: sqlmap 命令 时间线 2022-05-03: 发现漏洞 2022-05-03: 报告给厂商 2022-05-22: 咨询公告发布 发现者 Mohamed N. Ali @MohamedNabil ali.mohamed[at]gmail.com