漏洞性质 标题: SOUND4 IMPACT/FIRST/PULSE/Eco v2.x - Authentication Bypass EDB-ID: 51171 CVE: N/A 作者: LiquidWorm 类型: LOCAL 平台: WINDOWS 日期: 2023-03-31 漏洞详情 供应商: SOUND4 Ltd. 产品网页: https://www.sound4.com 受影响版本: - FM/HD Radio Processing: Impact/Pulse/First (Version 2: 1.1/2.15), Impact/Pulse/First (Version 1: 2.1/1.69), Impact/Pulse/Eco 1.16 - Voice Processing: BigVoice4 1.2, BigVoice2 1.30 - Web-Audio Streaming: Stream 1.1/2.4.29 - Watermarking 技术详情 漏洞描述: 应用程序存在SQL注入漏洞。通过'index.php'中的'password' POST参数传递的输入未在返回给用户或用于SQL查询之前进行适当清理,可以通过注入任意SQL代码来操纵SQL查询并绕过身份验证机制。 测试环境: - Apache/2.4.25 (Unix) - OpenSSL/1.0.2k - PHP/7.1.1 - GNU/Linux 5.10.43 (armv7l) - GNU/Linux 4.9.228 (armv7l) 发现与报告 发现者: Gjoko 'LiquidWorm' Krstic, Macedonian Information Security Research and Development Laboratory, Zero Science Lab 咨询ID: ZSL-2022-5726 咨询URL: https://www.zeroscience.mk/en/vulnerabilities/ZSL-2022-5726.php 日期: 2022.09.26 样例POST请求