关键信息摘要 漏洞名称: SOCA Access Control System 180612 - SQL Injection 漏洞类型: SQL Injection and Authentication Bypass EDB-ID: 46833 CVE: N/A 影响版本: 180612, 170000, and 141007 平台: PHP 发现者: Gjoko 'LiquidWorm' Krstic 漏洞描述 SOCA web access control系统存在多个SQL注入漏洞。通过多个POST参数传递的输入未被正确处理。 漏洞细节 身份验证绕过 / SQL注入通过 pos_id POST 参数在 Login.php: 认证绕过 / SQL注入通过 ID POST 参数在 Login.php: 登录后的SQL注入通过 cidx POST 参数在 Card_Edit_GetJson.php: 相关备注: - 提供了利用漏洞来转储当前用户、表、列、用户名和索引等的 命令示例。 - 利用MD5密码进行登录的示例。 详细报告参见: https://www.zeroscience.mk/en/vulnerabilities/ZSL-2019-5519.php