漏洞分享 - 思考軟體科技 Efence - SQL Injection(CVE-2023-22900)
思考軟體科技 Efence - SQL Injection
(CVE-2023-22900)
一、摘要
Efence登入功能未對使用者輸入的參數進行驗證,導致遠端攻擊者可在不須權限情況下,注入任意SQL語法讀取、修改及刪除資料庫。
二、存在風險
Efence登入功能未對使用者輸入的參數進行驗證,導致遠端攻擊者可在不須權限情況下,注入任意SQL語法讀取、修改及刪除資料庫,影響產品為【思考軟體科技 Efence 1.2.58 DB.ver 28】。
建議改善措施:請維護廠商協助更新或提供解決方案。
情資報告連結:https://www.twcert.org.tw/tw/cp-132-6885-d679e-1.html