phpwind多个远程代码执行漏洞 - IT知识教程 - 中企动力

登录注册

做网站
做推广
做电商

服务支持
应用与服务
关于中企

中企商学院

查看更多

核心必备

数字门户内贸营销版

全球营销版通用版

企业域名企业邮箱

行业应用

医院专业版学校专业版

律所专业版数字名片

视觉设计

VR全景视频制作

图片拍摄

网络安全

等保认证 SSL证书

查看更多

核心必备

全球SEO 百度首屏展位

Yandex推广 Google海外推广

解决方案

外贸推广解决方案

查看更多

核心必备

全网商城移动商城

装修服务

电商产品拍摄

解决方案

零售行业OMO解决方案政府采购电商平台解决方案

查看更多

查看更多

查看更多

帮助中心

数字门户产品服务保障服务中心

设计师信息化讲堂

解决方案

外贸数字营销解决方案企业视频直播解决方案

企业安全等保解决方案品牌数字化营销解决方案

品牌零售数字商业解决方案智慧园区解决方案

B2B电商平台建设解决方案数字化政务门户解决方案

开拓型外贸企业解决方案成长型外贸企业解决方案

行业解决方案

实战应用

产品剖析律所行业专家

平台产品导入外贸信息洞察

行业解读

学习中心

电商运营学院网站建设学院

查看更多

应用与服务

VR智能全景个性化场景定制服务

网站安全服务云定制

企业视频直播 Banner设计

产品主图设计图片处理

查看更多

企业概况

关于我们企业文化

发展历程数码庄园

法律隐私

资质荣誉

企业资质所获荣誉

新闻中心

新闻公告媒体报道

社会公益视频中心

行业资讯

联系我们

联系我们全国网点

工作机会

查看更多

查看更多

网站建设 IT知识 IT知识教程 phpwind多个远程代码执行漏洞

phpwind多个远程代码执行漏洞

2021-05-02 21:16:17

题目：phpwind multiple sql injection vulnerability

威胁程度：控制应用程序系统

错误类型：输入验证错误

利用方式：服务器模式

受影响系统

phpwind 7

phpwind 8

详细描述

phpwind 7和8版本存在输入验证漏洞，攻击者成功利用该漏洞可以远程执行任意php代码。

问题存在于pw_ajax.php中，由于用户提交给fieldname参数的数据缺少充分的过滤，攻击者可利用漏洞进行SQL注入攻击获取任何数据库里的数据。

另外class_other.php中存在一个任意ming令执行的漏洞，由于对$class[cid]输入缺少充分过滤，不过进入此逻辑需要一些较为关键的key，借助上面的注射漏洞即可获得该key。

PHPWind has a sql injection vulnerability, which can be exploited by malicious people to conduct SQL injection attacks.

Input passed to the "fieldname" Parameter in pw_ajax.php is not properly sanitised before being used in a SQL query. This can be exploited to manipulate SQL queries by injecting arbitrary SQL code.

In addition Input passed to the "$class[cid]" Parameter in class_other.php is not properly sanitised before being used in a SQL query. But in order to reach this logic code need some important key, attacker could exploit above sql injection vulnerability to get key .

测试代码

<?php

echo "

解决方案

目前没有详细解决方案提供：http://），转载请保留此信息！

声明：本页内容来源网络，仅供用户参考；我单位不保证亦不表示资料全面及准确无误，也不保证亦不表示这些资料为最新信息，如因任何原因，本网内容或者用户因倚赖本网内容造成任何损失或损害，我单位将不会负任何法律责任。如涉及版权问题，请提交至online#300.cn邮箱联系删除。

相关文章

PHPWIND & DISCUZ! CSRF漏洞

PHPWIND&DISCUZ!CSRF漏洞影响版本:Discuz!6.0.0&6.1.0&7.0.0PHPWIND6.0&6.3&7.0漏洞描述:PHPWIND

微软修复 Win10 Defender 漏洞，此前会被利用执行恶意软件

外媒GrahamCluley报道，微软WindowsDefender远程代码执行漏洞(CVE-2021-1647)会让WindowsDefender本身变成攻击

谷歌 Chrome 浏览器存在远程代码执行漏洞，综合评级为 “高危”

4月14日，国家信息安全漏洞共享平台(CNVD)收录了GoogleChrome远程代码执行漏洞(CNVD-2021-27989)。IT之家获悉，黑河攻击者利用该

Apache OFBiz披露新RCE漏洞，黑客可以接管ERP系统

近日，Apache修复了一个高危远程代码执行漏洞，该漏洞可能允许攻击者接管ERP系统。OFBiz是Apache下属的一个开源企业资源规划(ERP)系统开发框架，

Win10 Edge浏览器12月累积补丁KB3116184可防止远程代码执行

微软在12月Win10累积更新KB3116900中加入了Edge浏览器漏洞修复补丁KB3116184，这款补丁主要修复Edge浏览器的远程代码执行漏洞。攻击者可

7 x 24

全国售后支持
100 倍

故障时长赔付
25 年

25年行业服务经验
70 家

全国售后支持
1600+ 名

超千人的设计、研发团队
150 万

服务企业客户150万家

Copyright © 1999-2025 中企动力科技股份有限公司（300.cn）版权所有京公网安备11030102010293号京ICP证010249-2

在线咨询

建站在线咨询

获取方案

获取建站报价/方案

我们联系您

微信咨询

扫一扫添加
动力姐姐微信

TOP