CVE-2019-13086 PoC — CSZ CMS SQL注入漏洞

Source

https://github.com/lingchuL/CVE_POC_test

Associated Vulnerability

Title:CSZ CMS SQL注入漏洞 (CVE-2019-13086)
Description:CSZ CMS是一套基于PHP的开源内容管理系统（CMS）。 CSZ CMS 1.2.2版本（2019-06-20之前）中的core/MY_Security.php文件存在SQL注入漏洞。该漏洞源于基于数据库的应用缺少对外部输入SQL语句的验证。攻击者可利用该漏洞执行非法SQL命令。

Description

CVE-2019-13086漏洞的复现以及poc实验代码

Readme

# CVE_POC_test
CVE-2019-13086漏洞的复现以及poc实验代码

原CVE信息：
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-13086

实验环境：
CSZ CMS架构+php5.4+MySQL 5.5+Apache 2.4

漏洞类型：
SQL注入漏洞  文件上传漏洞

简要说明：
在\cszcms\cszcms\core\MY_Security.php的csrf_show_error函数中 
HTTP包的User-Agent字段在被添加到数据库查询语句中之前没有任何内容检测
这成为了可被构造sql注入的地方

防御措施：当然是赶紧修改源码添加对http包的UA字段的检测了！

File Snapshot


 [4.0K]  /data/pocs/bbba4a434436543aa44dd33b42edcd4b3853ff91
├── [  60]  passwordout.txt
├── [ 565]  README.md
└── [4.5K]  try2login_2.py

0 directories, 3 files

Shenlong Bot has cached this for you

Remarks

1. It is advised to access via the original source first.

2. If the original source is unavailable, please email f.jinxu#gmail.com for a local snapshot (replace # with @).

3. Shenlong has snapshotted the POC code for you. To support long-term maintenance, please consider donating. Thank you for your support.

Goal Reached Thanks to every supporter — we hit 100%!