Steedos Steedos-platform SQL注入漏洞 CVE-2020-35666 CNNVD-202012-1504

6.5 AV AC AU C I A
发布: 2020-12-23
修订: 2024-11-21

Steedos Steedos-platform是中国Steedos组织的一个基于Javascript的可声明式的方式创建网站的建站系统。 Steedos Platform 1.21.24版本及之前版本存在SQL注入漏洞,该漏洞源于允许NoSQL注入,因为erver/packages/steedos_base.js的 /api/collection/findone错误地处理了req.body验证,如MongoDB操作攻击,如X-User-Id[$ne]=1值。

0%

漏洞利用/PoC

暂无可用Exp或PoC

受影响的平台与产品

当前有1条受影响产品信息