孚盟云 MailAjax.ashx SQL注入漏洞复现

news/2024/12/13 23:49:06/

0x01 产品简介

上海孚盟软件有限公司是一家外贸SaaS服务提供商,也是专业的外贸行业解决方案专业提供商。 全新的孚盟云产品,让用户可以用云模式实现信息化管理,让用户的异地办公更加流畅,大大降低中小企业在信息化上成本,用最小的投入享受大型企业级别的信息化服务,主要为国际贸易和跨境电商企业提供智能营销获客、外贸CRM、外贸ERP、外贸业务流程管理以及供应链管理等全流程软件产品。独有的外贸获客解决方案,外贸全流程解决方案以及集团化解决方案,可支持外贸不同行业、不同发展阶段企业管理诉求,帮助外贸企业实现营销、销售、管理全周期运营需求。

0x02 漏洞概述

由于孚盟云 MailAjax.ashx 接口未对用户传入的参数进行合理的校验和过滤,导致传入的参数直接携带到数据库执行,导致SQL注入漏洞,未经身份验证的攻击者可通过此漏洞获取数据库权限,深入利用可获取服务器权限。

0x03 复现环境

FOFA:app="孚盟软件-孚盟云"


http://www.ppmy.cn/news/1554881.html

相关文章

vmware vsphere5---部署vCSA(VMware vCenter Server)附带第二阶段安装报错解决方案

声明 因为这份文档我是边做边写的,遇到问题重新装了好几次所以IP会很乱 ESXI主机为192.168.20.10 VCSA为192.168.20.7,后台为192.168.20.7:5480 后期请自行对应,后面的192.168.20.57请对应192.168.20.7,或根据自己的来 第一阶段…

【sgVideoDialog】自定义组件:基于video标签和el-dialog构建弹窗预览视频文件

sgVideoDialog源码 <template><div :class"$options.name" v-if"visible"><!-- 如果不加v-if"visible"弹窗中使用el-tabs组件就会死循环卡死&#xff0c;这个是elementUI的bug --><el-dialog:append-to-body"true&qu…

Python程序是一个基于Tkinter的GUI应用程序,用于录制和回放用户的鼠标和键盘操作

总结 这个Python程序是一个基于Tkinter的GUI应用程序&#xff0c;用于录制和回放用户的鼠标和键盘操作。主要功能包括&#xff1a; 录制功能&#xff1a; 用户可以选择录制哪些类型的动作&#xff08;如单击、双击、拖动、滚动、按键、移动&#xff09;。通过按 F1 键可以开始…

ThinkPHP框架审计--基础

基础入门 搭建好thinkphp 查看版本方法&#xff0c;全局搜version 根据开发手册可以大致了解该框架的路由 例如访问url http://127.0.0.1:8094/index.php/index/index/index 对应代码位置 例如在代码下面添加新方法 那么访问这个方法的url就是 http://127.0.0.1:8094/index.…

视频自定义全屏功能——兼容安卓和ios

视频窗口 <div class"relative bg-black" style"width: 100%; height: 30vh"><div id"currentVideo" class"w100 h100 absolute"><div class"absolute flex_r w100" style"bottom: 0"><divv…

【OpenCV】视频录制

介绍 在 OpenCV 中&#xff0c;视频录制涉及到读取摄像头或视频文件的帧&#xff0c;并将这些帧保存到新的视频文件中。为了实现这个过程&#xff0c;你需要创建一个 VideoCapture 对象来获取视频帧&#xff0c;以及一个 VideoWriter 对象来保存视频帧。以下是使用 OpenCV 进行…

四、vue多事件处理器

<template> <view> <!-- 这两个 one() 和 two() 将执行按钮点击事件 --> <button click"one($event); two($event)"> Submit </button> </view> </t…

经纬度解析到省市区【开源】

现在业务中有需要解析经纬度到省市区。 按理说可以直接使用高德&#xff0c;百度之类的。 但是老板太抠。于是去找开源项目。找了一圈&#xff0c;数据都太老了&#xff0c;而且有时候编码还不匹配。 所以诞生了这个项目&#xff0c;提供完整的一套省市区编码和定位反解析。…