关键信息: 漏洞ID: ZSL-2023-5797 漏洞类型: SQL Injection 受影响版本: 3.3.12 风险等级: 3/5 漏洞发现时间: 2022-12-23 报告者: Neurogenesis () 漏洞描述: 输入的数据在被返回给用户或用于SQL查询之前没有被正确清理,这可能导致SQL注入攻击。 POC详情: 文件名: nblmklik_sql.txt 参考链接: 1. https://play.google.com/store/apps/details?id=hr.asseco.android.jimba.tutunksamk.production 2. https://packetstormsecurity.com/files/175113/NLB-mKlik-Makedonija-3.3.12-SQL-Injection.html 3. https://nlin.mk/3a_Банката/3a_медиумите/Соопштенија_за_јавност.aspx 4. https://cxsecurity.com/issue/WLB-2023100040 变更日志: 2023-10-14: 初始发布 2023-10-17: 增加厂商状态和参考链接[2]和[3] 2023-10-18: 增加参考链接[4] 厂商交互记录: 2022-12-23: 发现漏洞 之后多次联系厂商,包括提供更多细节、请求更新和确认。 2023-01-16: 厂商回复称关于网络上对公司应用mKlik存在漏洞的报道不实,表示正在改进服务功能和信息安全,检测到报告中的漏洞后立即进行了纠正,希望与报告者共享此通知以透明公正地向公众报告。