一、 漏洞 CVE-2024-3039 基础信息
漏洞标题
上海Brad科技BladeX API导出用户SQL注入
来源:AIGC 神龙大模型
漏洞描述信息
上海布拉德科技有限公司BladeX 3.4.0产品中发现一个被评为“严重”的漏洞。受影响的是组件API的/api/blade-user/export-user文件中的未知函数。通过输入更新XML(1,concat(0x3f,md5(123456),0x3f),1))=1的方式进行操控会导致SQL注入。该攻击可能远程执行。漏洞已公开披露,可能被利用。此漏洞的标识符为VDB-258426。注意:关于此次披露,我们很早就联系了供应商,但未收到任何回复。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
SQL命令中使用的特殊元素转义处理不恰当(SQL注入)
来源:AIGC 神龙大模型
漏洞标题
Shanghai Brad Technology BladeX API export-user sql injection
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability classified as critical has been found in Shanghai Brad Technology BladeX 3.4.0. Affected is an unknown function of the file /api/blade-user/export-user of the component API. The manipulation with the input updatexml(1,concat(0x3f,md5(123456),0x3f),1)=1 leads to sql injection. It is possible to launch the attack remotely. The exploit has been disclosed to the public and may be used. VDB-258426 is the identifier assigned to this vulnerability. NOTE: The vendor was contacted early about this disclosure but did not respond in any way.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
SQL命令中使用的特殊元素转义处理不恰当(SQL注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
Shanghai Brad Technology BladeX SQL注入漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Shanghai Brad Technology BladeX是中国上海布雷德科技(Shanghai Brad Technology)公司的一个 SpringBoot 快速开发平台。 Shanghai Brad Technology BladeX 3.4.0版本存在SQL注入漏洞,该漏洞源于文件/api/blade-user/export-user存在SQL注入漏洞。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
SQL注入
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-3039 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-3039 的情报信息