漏洞描述

Rapid7 Nexpose 6.6.93 及更早版本容易受到 SQL 注入漏洞的影响，因此未定义有效的搜索运算符。这种缺乏验证可能允许已登录、经过身份验证的攻击者操纵 SearchCriteria 中的“ANY”和“OR”运算符并注入 SQL 代码。此问题已在 Rapid7 Nexpose 版本 6.6.129 中修复。

影响版本

Nexpose Vulnerability Scanner <= 6.6.128

漏洞复现

PoC默认端口：3780 默认用户名：nxadmin 受影响的处理程序：/data/asset/filterAssets完整请求

------本页内容已结束，喜欢请分享------

感谢您的来访，获取更多精彩文章请收藏本站。

本站网络名称： 孤勇者社区

本站永久网址： https://www.gyzsq.com

网站侵权说明：本网站的文章部分内容可能来源于网络，仅供大家学习与参考，如有侵权，请联系站长QQ324470778删除处理。
1 本站一切资源不代表本站立场，并不代表本站赞同其观点和对其真实性负责。
2 本站一律禁止以任何方式发布或转载任何违法的相关信息，访客发现请向站长举报
3 本站资源大多存储在云盘，如发现链接失效，请联系我们我们会第一时间更新。

THE END