CVE-2022-36599: Mingsoft MCMS v5.2.8 自定义模板处存在SQL注入 · Issue #I5I1P5 · 铭飞/MCMS - Gitee.com

漏洞分析

漏洞路由位置/${ms.manager.path}/mdiy/model/delete，漏洞点在如下方法，前端传入models对象。对models对象中遍历获取其中的ModelTableName值传入modelBiz.dropTable方法执行。

在dropTable方法中调用getDao().dropTable(table)方法。

查看dropTable对应的mapper内容如下，直接将table内容进行拼接且未预编译，造成SQL注入。

漏洞验证

首先需要创建自定义模版就需要自定义模板的json内容。通过如下https://code.mingsoft.net/创建自定义模型的json内容。

将创建好的json内容粘贴到网站的自定义模板——自定义模型json中，点击确定。

开启burpsuite抓包，选择刚新建的这个模版，点击删除按钮。

抓包中通过修改modelTableName字段，我们如下是利用堆叠注入方式，创建一个新的数据表。

通过登陆数据库查看执行结果，发现注入成功，删除了MDIY_MODEL_TEST表，并且成功创建了testtable表。