| tiêu đề | SeaCMS 13.3 SQL Injection |
|---|
| Mô tả | SQL Injection Leading to Remote Code Execution: A critical SQL injection vulnerability exists in the SeaCMS danmaku (bullet screen) system module. The vulnerable code is located in the 显示_弹幕列表() function within mysqli.class.php.
The 'page' and 'limit' parameters from user input ($_GET) are directly concatenated into the SQL query without any sanitization or proper parameterization. Although the application uses prepare() statement, the SQL string is constructed before the prepare call, making it completely ineffective against SQL injection attacks.
|
|---|
| Nguồn | ⚠️ https://note-hxlab.wetolink.com/share/VFwALb6qhnTZ |
|---|
| Người dùng | yu22x (UID 34832) |
|---|
| Đệ trình | 16/12/2025 02:23 (cách đây 6 các tháng) |
|---|
| Kiểm duyệt | 21/12/2025 09:31 (5 days later) |
|---|
| Trạng thái | được chấp nhận |
|---|
| Mục VulDB | 337707 [SeaCMS đến 13.3 mysqli.class.php page/limit Tiêm SQL] |
|---|
| điểm | 20 |
|---|