漏洞描述:
ShowDoc是基于thinkPHP开发的开源文档管理系统,支持使用Markdown语法书写API文档、数据字典、在线Excel文档等功能,ShowDoc3.2.6之前版本存在sql注入漏洞,在Showdoc的/server/index.php?s=/api/item/pwd路径的item_id参数存在拼接执行逻辑,攻击者可利用sql注入爆破用户的user_token,进而窃取管理员凭据,获取所有API文档、附件及LDAP等配置信息。
影响范围:
showdoc/showdoc(-∞, 3.2.6)
修复方案:
将组件showdoc/showdoc升级至3.2.6及以上版本
https://www.showdoc.com.cn/
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
![[周报]2024/11/14-2024/11/20 POC更新进度](https://zhousa.com/zb_users/theme/quietlee/style/noimg/7.jpg "[周报]2024/11/14-2024/11/20 POC更新进度")
还没有评论,来说两句吧...