【已复现】ShowDoc item_id SQL注入漏洞

文章预览

微信公众号： 黑伞安全 关注可了解更多的网络安全技术分享。如有问题或建议，请公众号留言; 如果你觉得挖不到src漏洞，希望黑伞安全知识星球对你有帮助，欢迎加入 回复：showdoc 领取poc ShowDoc 是一个开源的在线文档协作平台，它支持Markdown、图片等多种格式，方便团队成员共同编辑和分享文档。企业常见使用场景是使用其进行接口文档、内部知识库管理。 2024年6月，ShowDoc官方发布新版本修复了一个SQL注入漏洞。鉴于该漏洞无前置条件， 易于利用，且默认情况下可暴破用户token获取系统后台权限，建议所有使用该系统的企业尽快升级修复，以确保系统安全。 漏洞描述   Description   0 1 漏洞成因 该漏洞源于系统未使用有效的安全措施处理用户输入，并将用户的输入直接拼接进SQL语句中执行。这一过程导致了SQL注入漏洞的产生。 漏洞影响 该漏洞 ………………………………