漏洞关键信息 漏洞名称: Thrive Smart Home 1.1 Authentication Bypass 日期: 2019-12-30 作者: LiquidWorm 厂商: Thrive 产品网页: http://www.thrivesmarthomes.com 受影响版本: 1.1 测试环境: - Apache/2.4.41 (centos) OpenSSL/1.0.2k-fips - Apache httpd 2.4.25 (Raspbian) 风险等级: 中等 (Medium) CVE编号: N/A CWE编号: N/A 漏洞ID: ZSL-2019-5554 漏洞 URL: https://www.zeroscience.mk/en/vulnerabilities/ZSL-2019-5554.php 漏洞描述 该应用存在SQL注入漏洞。通过 传递的 POST参数在返回给用户或用于SQL查询之前未正确进行输入清洗,可被利用注入任意SQL代码并绕过认证机制。 漏洞发现者 Gjoko 'LiquidWorm' Krstic (@zeroscience) 测试命令示例