历史记录

    清空历史记录
    • 相关的动态
    • 相关的文章
    • 相关的用户
    • 相关的圈子
    • 相关的话题
    注册 登录
    CVE-2025-25064|Zimbra存在SQL注入漏洞
    Werqy3 漏洞分析 524浏览 · 2025-02-17 06:55

    Zimbra简介
    Zimbra提供一套开源协同办公套件包括WebMail,日历,通信录,Web文档管理和创作。
    漏洞描述


    漏洞原因
    漏洞的根本原因在于CancelPendingAccountOnlyRemoteWipe处理器中对用户输入(即设备ID)的处理方式不当
    漏洞代码
    Plain Text
    复制代码
    这里变量deviceId插入了sql查询语句,所以这里就有可能产生sql注入漏洞
    跟进一下getDevices方法
    跟进一下getDevice方法
    发现在这里用户可以输入变量deviceId,且没有任何过滤和转义
    payload:

    0 人收藏 0 人喜欢 转载 分享
    0 条评论
    某人
    表情
    可输入 255
      发布投稿
    热门文章
    优秀作者
    目录
    先知社区
    本站/app由 Djingoii 提供技术和产品支持