漏洞分享 - HGiga MailSherlock存在SQL Injection漏洞(CVE-2023-24840)
HGiga MailSherlock存在SQL Injection漏洞
(CVE-2023-24840)
一、摘要
MailSherlock信件查詢功能未對使用者輸入之參數進行驗證,遠端攻擊者以管理者權限登入後,即可注入任意SQL語法讀取、修改及刪除資料庫。
二、存在風險
MailSherlock信件查詢功能未對使用者輸入之參數進行驗證,遠端攻擊者以管理者權限登入後,即可注入任意SQL語法讀取、修改及刪除資料庫,其影響系統或版本如下:
- HGiga MailSherlock
- 系統版本:v4.5
- 系統套件:iSherlock-query-4.5 <= 4.5-167
建議改善措施:請維護廠商協助更新或提出解決方案。