一、 漏洞 CVE-2019-3576 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
inxedu自2018-12-24以来存在一个SQL注入漏洞,可能导致通过删除Faveorite/ PATH_INFO信息泄露信息。漏洞代码位置为com.inxedu.os.edu.controller.user.UserController#deleteFavorite(在com/inxedu/os/edu/controller/user/UserController.java中,名为deleteFavorite),其中在MyBatis使用期间,课程FavoritesService.deleteCourseFavoritesById被错误处理。注意:UserController.java在注释中有不同的拼写方式:一个@RequestMapping("/deleteFaveorite/{ids}") lines followed by一个“public ModelAndView deleteFavorite” lines。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
inxedu through 2018-12-24 has a SQL Injection vulnerability that can lead to information disclosure via the deleteFaveorite/ PATH_INFO. The vulnerable code location is com.inxedu.os.edu.controller.user.UserController#deleteFavorite (aka deleteFavorite in com/inxedu/os/edu/controller/user/UserController.java), where courseFavoritesService.deleteCourseFavoritesById is mishandled during use of MyBatis. NOTE: UserController.java has a spelling variation in an annotation: a @RequestMapping("/deleteFaveorite/{ids}") line followed by a "public ModelAndView deleteFavorite" line.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
inxedu SQL注入漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
inxedu是中国因酷时代(inxedu)科技公司的一套开源的在线教育平台。该平台包括网校系统、直播系统、考试系统、社区系统和营销官网等。 inxedu 2018-12-24及之前版本中存在SQL注入漏洞,该漏洞源于在使用MyBatis时,程序错误地处理了courseFavoritesService.deleteCourseFavoritesById。远程攻击者可利用该漏洞泄露信息。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
SQL注入
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2019-3576 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2019-3576 的情报信息