首页产品圈子应用市场官网

发布

评论/回复

{{userInfo.unread_post_num || 0}}

点赞/收藏

{{userInfo.unread_appreciate_num || 0}}

新增粉丝

{{userInfo.unread_follow_num || 0}}

官方通知

{{userInfo.unread_notice_num || 0}}

个人中心

排行榜

今日任务

打赏记录

帖子管理

登录/注册

推荐应用

全开源电商商城系统永久免费升级售后，包含商业授权+PC端+去版权

全开源电商商城系统永久免费升级售后，包含商业授权+PC端+去版权

PHP单商户开源免费版商城系统

PHP单商户开源免费版商城系统

CRMChat客服在线沟通聊天工具独立部署全开源

CRMChat客服在线沟通聊天工具独立部署全开源

Java版单商户商城系统全开源独立部署分销拼团

Java版单商户商城系统全开源独立部署分销拼团

全部

常见问题

产品动态

精选推荐

修复了一处SQL注入漏洞(CVE-2024-36837)怎么处理

管理

编辑

删除

5cf49e19d8aa 开源/标准版 v4.5 2025-06-30 11:43:49

其他

隐患详情：

2024年6月,CRMEB开源电商系统发布了新补丁,发布了新补丁,修复了一处SQL注入漏洞(CVE-2024-36837)。经分析，该洞可以通过请求api的路径接口来进行 SQL 注入，进而可能导致敏感信息泄露，该注入可暴露后台web 绝对路径深入利用可获取服务器权限，该漏洞无前置条件且利用简单，建议受影响的用户尽快修复漏洞。

隐患 ur1：

http://da.*****.com/api/products?limit=20&price0rder&salesOrder&selectId=GTID SUBSET(CONCAT(0x7e,(SELECT+(ELT(3550=3550，11111*111111))),0x7e),3550)

这种情况是怎么处理的？麻烦工作人员帮忙回复下

请登录后查看

开源版

5cf49e19d8aa 最后编辑于2025-06-30 11:43:49

快捷回复

回复

回复

回复（{{post_count}}) {{!is_user ? '我的回复' :'全部回复'}}

默认正序

回复倒序

点赞倒序

{{item.user_info.nickname ? item.user_info.nickname : item.user_name}} LV.{{ item.user_info.bbs_level || item.bbs_level }}

作者管理员企业

{{item.floor}}^# 同步到gitee 已同步到gitee {{item.is_suggest == 1? '取消推荐': '推荐'}}

{{item.is_suggest == 1? '取消推荐': '推荐'}}

沙发板凳地板 {{item.floor}}^#

{{item.user_info.title || '暂无简介'}}

{{itemf.name}}

下载

{{item.created_at}} {{item.ip_address}}

打赏

已打赏¥{{item.reward_price}}

{{item.like_count}}

{{item.showReply ? '取消回复' : '回复'}}

删除

回复

回复

{{itemc.user_info.nickname}}

{{itemc.user_name}}

回复 {{itemc.comment_user_info.nickname}}

{{itemf.name}}

下载

{{itemc.created_at}}

打赏

已打赏¥{{itemc.reward_price}}

{{itemc.like_count}}

{{itemc.showReply ? '取消回复' : '回复'}}

删除

回复

回复

查看更多

打赏

已打赏¥{{reward_price}}

67

{{like_count}}

{{collect_count}}

添加回复 ({{post_count}})

相关推荐

之前出现过SQL注入漏洞问题（api/products），请问现在是不是修复了？

SQL漏洞修复未生效

【漏洞修复/安全补丁】5.4之前版本通过api/products接口进行sql注入的问题

PHP实战：轻松实现商品库存批量导入，高效管理不是梦！

【4.2消息管理】部分消息管理提交之后依然是原本的模板id修复方法

【v4.6.0】修复升级完成之后，消息管理页面空白的问题

🔥🔥公测开启！CRMEB 标准版 v4.7快来体验！

标准版“v5霸气”登场！v5.0正式发布

CRMEB 标准版 v4.7 & 多店版 v2.4正式发布！

crmeb v4.0～v4.6开源商城安装教程

推荐应用

全开源电商商城系统永久免费升级售后，包含商业授权+PC端+去版权

全开源电商商城系统永久免费升级售后，包含商业授权+PC端+去版权

PHP单商户开源免费版商城系统

PHP单商户开源免费版商城系统

CRMChat客服在线沟通聊天工具独立部署全开源

CRMChat客服在线沟通聊天工具独立部署全开源

Java版单商户商城系统全开源独立部署分销拼团

Java版单商户商城系统全开源独立部署分销拼团

热门文章

微信小程序申请流程

{{numSaveThousand(4126)}} 阅读

CRMEB开源商城后台前端怎么运行

{{numSaveThousand(11006)}} 阅读

如何申请开通微信公众号

{{numSaveThousand(8811)}} 阅读

小程序开通及备案步骤

{{numSaveThousand(2792)}} 阅读

无法打开该页面，不支持打开 https://xxx.cn/kefu/mobile list，请在“小程序右上角更多->反馈与投诉”中和开发者反馈

{{numSaveThousand(4809)}} 阅读

推荐板块

【产品发布】标准版v5.6.2正式版，优化后台操作体验升级

{{numSaveThousand(617)}} 阅读

标准版v5.6.1，优化了一些细节提升体验

{{numSaveThousand(1783)}} 阅读

【产品经理在线收集】开源/标准版系统意见征集帖，欢迎大家反馈！

{{numSaveThousand(6503)}} 阅读

【开源/标准版】演示地址

{{numSaveThousand(97465)}} 阅读

CRMEB标准版安装系统配置清单

{{numSaveThousand(6879)}} 阅读

快速安全登录

使用微信扫码登录

回复

回复

问题:

问题自动获取的帖子内容,不准确时需要手动修改. [获取答案]

答案:

提交

bug

需求

打赏金额

当前余额：¥{{rewardUserInfo.reward_price}}

{{item.price}}元

请输入 0.1-{{reward_max_price}} 范围内的数值

打赏成功

¥{{price}}

完成

确认打赏

微信登录/注册

切换手机号登录

{{ bind_phone ? '绑定手机' : '手机登录'}}

{{codeText}}

登录

切换微信登录/注册

暂不绑定

CRMEB客服

咨询热线

400-8888-794

微信扫码咨询