【漏洞预警】ShowDoc < 3.2.6 存在 SQL 注入漏洞

文章预览

漏洞描述: ShowDoc是基于thinkPHP开发的开源文档管理系统,支持使用Markdown语法书写API文档、数据字典、在线Excel文档等功能,ShowDoc3.2.6之前版本存在sql注入漏洞,在Showdoc的/server/index.php?s=/api/item/pwd路径的item_id参数存在拼接执行逻辑，攻击者可利用sql注入爆破用户的user_token，进而窃取管理员凭据，获取所有API文档、附件及LDAP等配置信息。 影响范围: showdoc/showdoc(-∞, 3.2.6) 修复方案: 将组件showdoc/showdoc升级至3.2.6及以上版本 https://www.showdoc.com.cn/ ………………………………