Kate Li (Taiwan)的部落格

首頁

6.3.4以下的oxide eshop 6.x sql注入(sqli)到rce漏洞

作者 morcillo 時間 2020-05-29
利用漏洞氧化eshop

氧化eShop是一個免費的開源電子商務和購物車解決方案。它起源於德國,其企業版被梅賽德斯、比特堡和愛德卡等行業領袖所使用。在Oxide eShop版本6.x<=6.3.4中未篩選會話中的aSorting參數,導致SQL注入漏洞。

漏洞利用詳細資訊:OXID eShop 6.x <= 6.3.4 SQL Injection (SQLi) to RCE Vulnerability Exploit