Apache Fineract: Under certain system configurations, the sqlSearch parameter for specific endpoints was vulnerable to SQL injection attacks, potentially allowing attackers to manipulate database queries. 漏洞信息(CVE-2024-23539)

一、漏洞 CVE-2024-23539 基础信息

漏洞标题

Apache Fineract：在某些系统配置下，特定端点的sqlSearch参数容易受到SQL注入攻击，可能允许攻击者操纵数据库查询。

来源：AIGC 神龙大模型

漏洞描述信息

在Apache Fineract中，由于SQL命令（'SQL注入'）使用的特殊元素未得到适当中和的漏洞。此问题影响了Apache Fineract的所有版本，特别是低于1.8.5的版本。强烈建议用户升级到1.8.5或更高版本，或者升级到1.9.0版本，以修复这个问题。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

来源：AIGC 神龙大模型

漏洞类别

SQL命令中使用的特殊元素转义处理不恰当(SQL注入)

来源：AIGC 神龙大模型

漏洞标题

Apache Fineract: Under certain system configurations, the sqlSearch parameter for specific endpoints was vulnerable to SQL injection attacks, potentially allowing attackers to manipulate database queries.

来源：美国国家漏洞数据库 NVD

漏洞描述信息

Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') vulnerability in Apache Fineract.This issue affects Apache Fineract: <1.8.5. Users are recommended to upgrade to version 1.8.5 or 1.9.0, which fix the issue.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:H

来源：美国国家漏洞数据库 NVD

漏洞类别

SQL命令中使用的特殊元素转义处理不恰当(SQL注入)

来源：美国国家漏洞数据库 NVD

漏洞标题

Apache Fineract SQL注入漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

Apache Fineract是美国阿帕奇（Apache）基金会的一套开源数字金融服务平台。该平台能够为用户提供数据管理、贷款和储蓄投资组合管理以及实时财务数据等功能。 Apache Fineract 1.8.5之前版本存在SQL注入漏洞，该漏洞源于容易受到SQL注入攻击。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

SQL注入

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2024-23539 的公开POC

#	POC 描述	源链接	神龙链接

一、 漏洞 CVE-2024-23539 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2024-23539 的公开POC

三、漏洞 CVE-2024-23539 的情报信息

一、漏洞 CVE-2024-23539 基础信息