| tiêu đề | SeaCMS 13.3 SQL Injection |
|---|
| Mô tả | Multiple SQL injection vulnerabilities exist in the SeaCMS backend video management module. The vulnerable code uses `implode()` to concatenate array elements directly into SQL queries without proper sanitization.
**⚠️ CRITICAL: Unlike frontend vulnerabilities, the backend disables SQL security checks!**
**Vulnerability Characteristics:**
- **Authentication Required**: Backend administrator access needed
- **Multiple Injection Points**: Lines 260, 293, 318, 326
- **WAF Protection**: ❌ DISABLED in backend (`$dsql->safeCheck = false`)
- **Fully Exploitable**: ✅ YES - UNION and time-based blind injection confirmed
|
|---|
| Nguồn | ⚠️ https://note-hxlab.wetolink.com/share/aTI1wPFLm7FG |
|---|
| Người dùng | yu22x (UID 34832) |
|---|
| Đệ trình | 16/12/2025 02:24 (cách đây 6 các tháng) |
|---|
| Kiểm duyệt | 21/12/2025 09:31 (5 days later) |
|---|
| Trạng thái | được chấp nhận |
|---|
| Mục VulDB | 337708 [SeaCMS đến 13.3 admin_video.php e_id Tiêm SQL] |
|---|
| điểm | 20 |
|---|