
cmseasy前台无需登录直接获取敏感数据的SQL注入(有POC证明)
cmseasy前台无需登录直接获取敏感数据的SQL注入cmseasy 前台无视gpc的sql注入
我下载的是最新版本的cmseasy,之前有人提过这里的漏洞,官方进行了修补,但是越修补,越捉急,直接看代码:
这里是注册函数的地方
celive.class.php(480-497):
function xajax_live() {
if (!$this->xajax_live_flag) {
$this->xajax_live_flag=true;
...