从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 漏洞编号:AIT-SA-20241112-01 - 目标:decidim-module-decidim_awesome - 供应商:Decidim International Community Environment - 版本:所有版本,包括v0.11.1 - CVE编号:CVE-2024-43415 - 可访问性:远程 - 严重性:严重 - 作者:Wolfgang Hotwagner (Austrian Institute of Technology) 2. 漏洞摘要: - Decidim是一个参与式民主框架,使用Ruby on Rails编写,最初为巴塞罗那市政府的在线和离线参与网站开发。 3. 漏洞描述: - 具有管理员权限的攻击者可以操纵数据库查询,以读取数据库、读取文件系统中的文件、写入文件系统中的文件。在最坏的情况下,这可能导致服务器上的远程代码执行。 4. 漏洞利用: - 方法可以通过 在 中执行。 - 要触发SQL注入,需要执行以下请求: - 执行该请求后,会显示错误,表明SQL注入已触发。 5. 受影响的版本: - 所有版本,包括v0.11.1 6. 影响: - 代码执行 - 权限提升 - 信息泄露 7. 缓解措施: - 更新到0.10.3或更高版本。 - 更新到0.11.2或更高版本。 8. 供应商联系时间线: - 2024-8-20:与供应商的初步联系。 - 2024-8-21:供应商批准发现。 - 2024-8-22:发布安全修复更新。 - 2024-11-12:公开披露。 9. 参考链接: - GitHub上的安全公告 这些信息提供了关于Decidim Awesome模块中SQL注入漏洞的详细描述,包括漏洞的性质、影响范围、缓解措施和供应商的响应时间线。