zzcms接口index.php id参数存在SQL注入漏洞

zzcms接口index.php id参数存在SQL注入漏洞

漏洞描述

ZZCMS 2023中发现了一个严重漏洞。该漏洞影响了文件/index.php中的某些未知功能,操纵参数id会导致SQL注入,攻击可能是远程发起的,该漏洞已被公开披露并可被利用。攻击者可通过sql盲注等手段，获取数据库信息。

威胁等级: 高危

漏洞分类: SQL注入

涉及厂商及产品：zzcms

应用指纹及检出思路

存在二次开发的可能

匹配源代码接口 存在关键字zcms_skin 即可

fofa: body="/zx/search.php" && body="/inc/showuserlogin.php" || body="ZCMS_ShowNewMessage" || body="zcms_skin" || body="/inc/showuserlogin.php" || body="/zx/search.php" || body="/inc/showuserlogin.php" || title="zzcms"

漏洞复现

GET /z