关键漏洞信息 漏洞名称: Money Transfer Management System 1.0 - SQL Injection CVSS 评分: 4.3 (中等) 发现者: Oscar Uribe (Offensive Team, Fluid Attacks) 漏洞描述: Money Transfer Management System Version 1.0 允许通过 参数在 URL 中注入 SQL 查询。 CVE ID: CVE-2022-25223 状态: 公开 发布日期: 2022年3月15日 影响产品版本: Money Transfer Management System 1.0 证实概念步骤: 1. 以普通用户身份登录应用。 2. 访问 3. 在 参数中插入以下查询: 系统信息: - 版本: Money Transfer Management System 1.0 - 操作系统: Linux - Web 服务器: Apache - PHP 版本: 7.4 - 数据库及其版本: MySQL 利用: 没有现成的利用工具,但可以手动利用。 缓解措施: 截至 2022年3月15日,尚未有修复该问题的补丁。 时间线: - 漏洞发现: 2022年2月15日 - 厂商联系: 2022年2月15日 - 公开披露: 2022年3月15日 参考资料: Vendor page